D. Leg.vo 04/09/2024, n. 138 | Bollettino di Legislazione Tecnica
FAST FIND : NN18864

D. Leg.vo 04/09/2024, n. 138

Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
Scarica il pdf completo
12052205 12077937
Premessa

 

IL PRESIDENTE DELLA REPUBBLICA

 

Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell’attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri» e, in particolare, l’articolo 14;

Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea» e, in particolare, gli articoli 31 e 32;

Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti normativi dell’Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l’articolo 3;

Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148;

Vista la comunicazione della Commissione, del 13 settembre 2023, relativa all’applicazione dell’articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555;

Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche);

Visto il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077938
Capo I - DISPOSIZIONI GENERALI
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077939
Art. 1. - Oggetto

1. Il presente decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.

2. Ai fini del comma 1, il presente decreto prevede:

a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;

b) l’integrazione del quadro di gestione delle crisi informatiche, nel contesto dell’organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza, di cui all’

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077940
Art. 2. - Definizioni

1. Ai fini del presente decreto si applicano le definizioni seguenti:

a) «Strategia nazionale di cybersicurezza»: il quadro coerente che prevede gli obiettivi strategici e le priorità in materia di cybersicurezza, nonché la governance per il loro conseguimento, di cui all’articolo 9;

b) «Agenzia per la cybersicurezza nazionale»: l’Agenzia per la cybersicurezza nazionale di cui all’articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;

c) «Nucleo per la cybersicurezza»: il Nucleo per la cybersicurezza di cui all’articolo 8 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;

d) «Autorità nazionale competente NIS»: l’Agenzia per la cybersicurezza nazionale, quale Autorità nazionale competente NIS di cui all’articolo 10, comma 1;

e) «Punto di contatto unico NIS»: l’Agenzia per la cybersicurezza nazionale, quale Punto di contatto unico NIS di cui all’articolo 10, comma 2;

f) «Autorità di settore NIS»: le Amministrazioni designate quali Autorità di settore di cui all’articolo 11, commi 1 e 2;

g) «Autorità nazionali di gestione delle crisi informatiche»: per la parte relativa alla resilienza nazionale di cui all’articolo 1 del decreto-legge n. 82 del 2021, l’Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell’articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e, per la parte relativa alla difesa dello Stato, il Ministero della difesa, quali Autorità nazionali responsabili della gestione degli incidenti e delle crisi di cybersicurezza su vasta scala, di cui all’articolo 9 della direttiva (UE) 2022/2555;

h) «CSIRT nazionali»: i Gruppi nazionali di risposta agli incidenti di sicurezza informatica di cui all’articolo 10, paragrafo 1, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;

i) «CSIRT Italia»: il Gruppo nazionale di risposta agli incidenti di sicurezza informatica ai sensi dell’articolo 15, comma 1, operante all’interno dell’Agenzia per la cybersicurezza nazionale;

l) «Gruppo di cooperazione NIS»: il Gruppo di cooperazione di cui all’articolo 18, istituito ai sensi dell’articolo 14 della direttiva (UE) 2022/2555;

m) «EU-CyCLONe»: la Rete delle organizzazioni di collegamento per le crisi informatiche di cui all’articolo 19, istituita ai sensi dell’articolo 16 della direttiva (UE) 2022/2555;

n) «Rete di CSIRT nazionali»: la Rete di CSIRT nazionali di cui all’articolo 20, istituita ai sensi dell’articolo 15 della direttiva (UE) 2022/2555;

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077941
Art. 3. - Ambito di applicazione

1. Nell’ambito di applicazione del presente decreto rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV, che costituiscono parte integrante del presente decreto, che sono sottoposti alla giurisdizione nazionale ai sensi dell’articolo 5. Gli allegati I e II descrivono i settori ritenuti, rispettivamente, altamente critici e critici, nonché i relativi sottosettori e le tipologie di soggetti. Gli allegati III e IV descrivono, rispettivamente, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il presente decreto.

2. Il presente decreto si applica ai soggetti delle tipologie di cui all’allegato I e II, che superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE.

3. L’articolo 3, paragrafo 4, dell’allegato alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, non si applica ai fini del presente decreto.

4. Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitur

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077942
Art. 4. - Protezione degli interessi nazionali e commerciali

1. Il presente decreto lascia impregiudicata la responsabilità dello Stato italiano di tutelare la sicurezza nazionale e il suo potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello Stato e il mantenimento dell’ordine pubblico.

2. I soggetti di cui all’articolo 3, commi 6 e 7, non ricomprendono il Parlamento italiano, l’Autorità giudiziaria, la Banca d’Italia e l’Unità di informazione finanziaria per l’Italia di cui all’articolo 6 del decreto legislativo 21 novembre 2007, n. 231. Agli Organi costituzionali e di rilievo costituzionale non si applicano le previsioni di cui al capo V.

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077943
Art. 5. - Giurisdizione e territorialità

1. Sono sottoposti alla giurisdizione nazionale i soggetti di cui all’articolo 3 stabiliti sul territorio nazionale, ad eccezione dei seguenti casi:

a) i fornitori di reti pubbliche di comunicazione elettronica o i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che sono considerati sotto la giurisdizione dello Stato membro nel quale forniscono i loro servizi;

b) i fo

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077944
Art. 6. - Soggetti essenziali e soggetti importanti

1. Ai fini del presente decreto, sono considerati soggetti essenziali:

a) i soggetti di cui all’allegato I che superano i massimali per le medie imprese di cui all’articolo 2, paragrafo 1, dell’allegato della racco

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077945
Art. 7. - Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti

1. Dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del presente decreto, i soggetti di cui all’articolo 3, si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale anche ai sensi del presente decreto. A tal fine, tali soggetti forniscono o aggiornano almeno le informazioni seguenti:

a) la ragione sociale;

b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

c) la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077946
Art. 8. - Protezione dei dati personali

1. L’Agenzia per la cybersicurezza nazionale, le Autorità di settore NIS e i soggetti di cui all’articolo 3 trattano i dati personali nella misura necessa

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077947
Capo II - QUADRO NAZIONALE DI SICUREZZA INFORMATICA
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077948
Art. 9. - Strategia nazionale di cybersicurezza

1. La Strategia nazionale di cybersicurezza individua gli obiettivi strategici e le risorse necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cybersicurezza.

2. La Strategia nazionale di cybersicurezza comprende almeno:

a) gli obiettivi e le priorità, che riguardano in particolare i settori di cui agli allegati I, II, III e IV;

b) un quadro di governance per la realizzazione degli obiettivi e delle priorità di cui alla lettera a), comprendente le misure strategiche di cui al comma 3;

c) un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale, a sostegno della cooperazione e del coordinamento a livello nazionale tra le Autorità di settore NIS, l’Agenzia per la cybersicurezza nazionale, in qualità di Autorità nazionale competente NIS, di Punto di contatto unico NIS e di CSIRT Italia, nonché il coordinamento e la cooperazione tra tali organismi e le altre autorità competenti ai sensi degli atti giuridici settoria

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077949
Art. 10. - Autorità nazionale competente e Punto di contatto unico

1. L’Agenzia per la cybersicurezza nazionale è l’Autorità nazionale competente NIS di cui all’articolo 8, paragrafo 1, della direttiva (UE) 2022/2555 e pertanto:

a) sovrintende all’implementazione e all’attuazione del presente decreto;

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077950
Art. 11. - Autorità di settore NIS

1. Al fine di assicurare l’efficace attuazione del presente decreto a livello settoriale, sono individuate le Autorità di settore NIS che supportano l’Autorità nazionale competente NIS e collaborano con essa, secondo le modalità di cui all’articolo 40, comma 2, lettera c).

2. Sono designate quali Autorità di settore NIS:

a) la Presidenza del Consiglio dei ministri per:

1) il settore gestione dei servizi TIC, di cui al numero 9 dell’allegato I, in collaborazione con l’Agenzia per la cybersicurezza nazionale;

2) il settore dello spazio, di cui al numero 10 dell’allegato I;

3) il settore delle pubbliche amministrazioni, di cui all’articolo 3, commi 6 e 7;

4) le società in house e le società partecipate o a controllo pubblico, di cui al numero 4 dell’allegato IV;

b) il Ministero dell’economia e delle finanze, per i settori bancario e delle infrastrutture dei mercati finanziari, di cui ai numeri 3 e 4 dell’allegato I, sentite le autorità di vigilanza di settore, Banca d’Italia e Consob;

c) il Ministero delle imprese e del made in Italy per:

1) il settore delle infrastrutture digitali, di cui al numero 8 dell’allegato I;

2) il settore dei servizi postal

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077951
Art. 12. - Tavolo per l’attuazione della disciplina NIS

1. Presso l’Agenzia per la cybersicurezza nazionale è costituito, in via permanente, il Tavolo per l’attuazione della disciplina NIS, per assicurare l’implementazione e attuazione del presente decreto.

2. Il Tavolo per l’attuazione della disciplina NIS è presieduto dal direttore generale dell’Agenzia per la cybersicurezza nazionale, o da un suo delegato, ed è composto da un rappresentante di ogni Autorità di settore NIS di cui all’articolo 11 e da du

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077952
Art. 13. - Quadro nazionale di gestione delle crisi informatiche

1. L’Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell’articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e il Ministero della difesa sono individuati quali Autorità nazionali di gestione delle crisi informatiche, ciascuno per gli ambiti di competenza di cui all’articolo 2, comma 1, lettera g).

2. Le Autorità nazionali di gestione delle crisi informatiche individuano le capacità, le risorse e le procedure che possono essere impiegate in caso di crisi ai fini del presente decreto.

3. Entro dodici mesi dalla data di entrata in vigore del presente decreto, con uno o più decreti de

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077953
Art. 14. - Cooperazione tra Autorità nazionali

1. Sono assicurate la cooperazione e la collaborazione reciproca dell’Autorità nazionale competente NIS e del Punto di contatto unico NIS con l’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorità di contrasto), con il Garante per la protezione dei dati personali quale autorità di controllo di cui all’articolo 55 o 56 del regolamento (UE) 2016/679, con l’Ente nazionale per l’aviazione civile (ENAC) quale autorità nazionale ai sensi dei regolamenti (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’11 marzo 2008, e (UE) 2018/1139, del Parlamento europeo e del Consiglio, del 4 luglio 2018, con l’Agenzia per l’Italia digitale (AgID) quale organismo di vigilanza ai sensi del regolamento (UE) n. 910/2014, con l’Autorità per le garanzie nelle comunicazioni quale autorità nazionale di regolamentazione ai sensi della direttiva (UE) 2018/1972, con il Ministero della difesa, quale responsabile in materia di difesa dello Stato, nonché con altre autorità nazionali competenti anche ai sensi di altri atti giuridici settoriali dell’Un

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077954
Art. 15. - Gruppo nazionale di risposta agli incidenti di sicurezza informatica - CSIRT Italia

1. Il CSIRT Italia, fermo restando quanto previsto dal decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109:

a) è l’organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i settori, i sottosettori e le tipologie di soggetti di cui agli allegati I, II, III e IV, conformemente a modalità e procedure definite dal CSIRT stesso;

b) dispone di un’infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale attraverso la quale scambiare informazioni con i soggetti essenziali o importanti e con gli altri portatori di interesse pertinenti;

c) coopera e, se opportuno, scambia informazioni pertinenti conformemente all’articolo 17 con comunità settoriali o intersettoriali di soggetti essenziali e di soggetti importanti;

d) partecipa alla revisione tra pari di cui all’articolo 21;

e) garantisce la collaborazione effettiva, efficiente e sicura, nella Rete di CSIRT nazionali di cui all’articolo 20;

f) ai sensi dell’articolo 7, comma 1, lettera s), del decreto-l

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077955
Art. 16. - Divulgazione coordinata delle vulnerabilità

1. Il CSIRT Italia è designato coordinatore ai fini della divulgazione coordinata delle vulnerabilità ai sensi dell’articolo 12 della direttiva (UE) 2022/2555 e agisce da intermediario di fiducia agevolando, se necessario, l’interazione tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi TIC o prodotti TIC potenzialmente vulnerabili, su richiesta di una delle parti.

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077956
Art. 17. - Accordi di condivisione delle informazioni sulla sicurezza informatica

1. I soggetti che rientrano nell’ambito di applicazione del presente decreto e laddove opportuno anche ulteriori soggetti, possono scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica, comprese informazioni relative a minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza informatica e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica per individuare le minacce informatiche, se tale condivisione di

informazioni:

a) mira a prevenire o rilevare gli

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077957
Capo III - COOPERAZIONE A LIVELLO DELL’UNIONE EUROPEA E INTERNAZIONALE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077958
Art. 18. - Gruppo di cooperazione NIS

1. L’Autorità nazionale competente NIS partecipa al Gruppo di cooperazione NIS.

2. Le Autorità di settore NIS partecipano, su richiesta dell’Autorità nazionale competente NIS, alle iniziative del Gruppo di cooperazione NIS relative al proprio settore di interesse.

3. Ai fini dei commi 1 e 2, l’Autorità nazionale competente NIS, supportata dalle Autorità di settore NIS interessate, provvede a:

a) tenere conto degli orientamenti non vincolanti del Gruppo di cooperazione NIS in merito al recepimento e all’attuazione della direttiva (UE) 2022/2555;

b) tenere conto degli orientamenti non vincolanti del Gruppo di cooperazione NIS in merito allo sviluppo e all’attuazione di politiche in materia di divulgazione coordinata delle vulnerabilità di cui all’articolo 16;

c) scambiare migliori prassi e informazioni relative all’attuazione della direttiva (UE) 2022/2555, anche per quanto riguarda minacce informatiche, incidenti, vulnerabilità, quasi-incidenti, iniziative di sensibilizzazione, attività di formazione, esercitazioni e competenze, sviluppo di capacità, specifiche tecniche anche adottate da un organismo di normazione riconosciuto di cui al regolamento (UE) 1025/2012, nonché all’identificazione dei soggetti essenziali e dei soggetti importanti ai sensi del presente decreto;

d) effettuare scambi

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077959
Art. 19. - Rete delle organizzazioni di collegamento per le crisi informatiche - EU-CyCLONe

1. L’Autorità nazionale di gestione delle crisi informatiche partecipa alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).

2. Ai fini del comma 1, l’Autorità nazionale di gestione delle crisi informatiche contribuisce a:

a) aumentare il livello di preparazione per la gestione di incidenti e crisi informatiche su vast

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077960
Art. 20. - Rete di CSIRT nazionali

1. Il CSIRT Italia partecipa alla Rete di CSIRT nazionali.

2. Il CSIRT Italia, ai fini del comma 1, contribuisce a:

a) scambiare informazioni per quanto riguarda le capacità dei CSIRT nazionali;

b) agevolare, ove possibile, la condivisione, il trasferimento e lo scambio di tecnologia e delle misure, delle politiche, degli strumenti, dei processi, delle migliori pratiche e dei quadri pertinenti fra i CSIRT nazionali;

c) scambiare, su richiesta di un CSIRT nazionale di un altro Stato membro potenzialmente interessato da un incidente, informazioni relative a tale incidente, alle minacce informatiche, ai rischi e alle vulnerabilità associate;

d) scambiare informazioni in m

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077961
Art. 21. - Procedura di revisione tra pari

1. L’Autorità nazionale competente NIS può partecipare alla procedura di revisione tra pari, di cui all’articolo 19 della direttiva (UE) 2022/2555, nel quadro della metodologia di cui all’articolo 18, comma 4, lettera m), del presente decreto:

a) richiedendo l’esecuzione di una revisione tra pari in relazione all’attuazione della direttiva (UE) 2022/2555 a livello nazionale;

b) indicando uno o più rappresentanti dell’Agenzia per la cybersicurezza nazionale o delle Autorità di settore NIS quali esperti di sicurezza informatica, di cui all’articolo 19, paragrafo 2, della direttiva (UE) 2022/2555, per eseguire revisioni tra pari presso altri Stati membri, su richiesta di questi ultimi, nel rispetto dei codici di condotta di cui all’articolo 18, comma 4, lettera m), del presente decreto. Eventuali rischi di conflitto di interessi riguardanti gli esperti di sicurezza informatica designati sono condivisi con gli altri Stati membri, il Gruppo di cooperazione NIS,

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077962
Art. 22. - Comunicazioni all’Unione europea

1. Successivamente alla data di entrata in vigore del presente decreto, la Presidenza del Consiglio dei ministri notifica tempestivamente alla Commissione europea la conferma dell’Agenzia per la cybersicurezza nazionale quale Autorità nazionale competente NIS e quale Punto di contatto unico NIS, nonché la designazione dell’Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell’articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e del Ministero della difesa, quali Autorità nazionali di gestione delle crisi informatiche, e i relativi ambiti di competenza come indicati all’articolo 2, comma 1, lettera g). Successivamente, ogni ulteriore modifica a tali designazioni o compiti è notificata, senza ingiustificato ritardo, alla Commissione europea. Alle designazioni sono assicurate idonee forme di pubblicità.

2. L’Autorità nazionale competente NIS:

a) trasmette alla Commissione europea la Strategia nazionale di cybersi

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077963
Capo IV - OBBLIGHI IN MATERIA DI GESTIONE DEL RISCHIO PER LA SICUREZZA INFORMATICA E DI NOTIFICA DI INCIDENTE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077964
Art. 23. - Organi di amministrazione e direttivi

1. Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti:

a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali sogget

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077965
Art. 24. - Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica

1. I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui agli articoli 30, 31 e 32, alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Tali misure:

a) assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze più aggiornate e dello stato dell’arte in materia e, ove applicabile, delle pertinenti norme nazionali, europee e internazionali, nonché dei costi di attuazione;

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077966
Art. 25. - Obblighi in materia di notifica di incidente

1. I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che, ai sensi del comma 4, ha un impatto significativo sulla fornitura dei loro servizi, secondo le modalità e i termini di cui agli articoli 30, 31 e 32.

2. Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell’incidente.

3. La notifica non espone il soggetto che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

4. Un incidente è considerato significativo se:

a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato;

b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

5. Ai fini della notifica di cui al comma 1, i soggetti interessati trasmettono al CSIRT Italia:

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077967
Art. 26. - Notifica volontaria di informazioni pertinenti

1. In aggiunta all’obbligo di notifica di incidente di cui all’articolo 25, possono essere trasmesse, su base volontaria, notifiche al CSIRT Italia da parte dei:

a) soggetti essenziali e soggetti importanti, per quanto riguarda gli inciden

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077968
Art. 27. - Uso di schemi di certificazione della cybersicurezza

1. Al fine di dimostrare il rispetto di determinati obblighi di cui all’articolo 24, l’Autorità nazionale competente NIS, secondo le modalità di cui all’articolo 40, comma 5, può imporre ai soggetti essenziali e ai soggetti importanti di utilizzare ca

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077969
Art. 28. - Specifiche tecniche

1. Per favorire l’attuazione efficace e armonizzata dell’articolo 24, commi 1 e 2, l’Autorità nazionale competente NIS, senza imposizioni o discriminazioni a favore dell’uso di un particolare tipo di tecnologia, promuove l’uso di specifiche tecniche europee e

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077970
Art. 29. - Banca dei dati di registrazione dei nomi di dominio

1. Per contribuire alla sicurezza, alla stabilità e alla resilienza dei sistemi di nomi di dominio, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in un’apposita banca dati con la dovuta diligenza, conformemente al diritto dell’Unione europea in materia di protezione dei dati personali.

2. Ai fini del comma 1, la banca dei dati di registrazione dei nomi di dominio contiene le informazioni necessarie per identificare e contattare i titolari dei nomi di dominio e i punti di contatto che amministrano i nomi di dominio presenti, registrati o censiti nel registro dei

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077971
Art. 30. - Elencazione, caratterizzazione e categorizzazione delle attività e dei servizi

1. Ai fini di cui all’articolo 24, comma 1, dal 1° maggio al 30 giugno di ogni anno a partire dalla ricezione della prima comunicazione di cui all’articolo 7, comma 3, lettera a), i soggetti essenziali e i soggetti importanti comunicano e aggiornano, tramite la piattaforma digitale di cui all’articolo 7, comma 1, un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessar

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077972
Art. 31. - Proporzionalità e gradualità degli obblighi

1. Ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29 l’Autorità nazionale competente NIS stabilisce obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.

2. L’Autorità nazionale competente

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077973
Art. 32. - Previsioni settoriali specifiche

1. Fermo restando quanto previsto dagli articoli 23, 24, 25, 27, 28 e 29, tenuto conto degli impatti sociali e economici di un incidente significativo nella catena di approvvigionamento del settore della pubblica amministrazione, l’Autorità nazionale competente NIS, secondo le modalità di cui all�

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077974
Art. 33. - Coordinamento con la disciplina del perimetro di sicurezza nazionale cibernetica

1. Ai fini dell’articolo 4:

a) gli obblighi di gestione del rischio per la sicurezza informatica e di notifica di incidente previsti dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazion

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077975
Capo V - MONITORAGGIO, VIGILANZA ED ESECUZIONE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077976
Art. 34. - Principi generali per lo svolgimento delle attività di vigilanza ed esecuzione

1. L’Autorità nazionale competente NIS monitora e valuta il rispetto da parte dei soggetti essenziali e dei soggetti importanti degli obblighi previsti dall’articolo 7 e dal capo IV, nonché i relativi effetti sulla sicurezza dei sistemi informativi e di rete, svolgendo attività di vigilanza attraverso:

a) il monitoraggio, l’analisi e il supporto ai soggetti essenziali e ai soggetti importanti;

b) la verifica e le ispezioni;

c) l’adozione di misure di esecuzione;

d) l’irrogazione di sanzioni amministrative pecuniarie e accessorie.

2. L’Autorità nazionale competente NIS può conferire priorità alle attività di cui al presente capo adottando un approccio basato sul rischio.

3. L’Autorità nazionale competente NIS provvede affinché le a

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077977
Art. 35. - Monitoraggio, analisi e supporto

1. Ai fini dell’articolo 7, l’Autorità nazionale competente NIS verifica e fornisce riscontro circa le informazioni trasmesse e la relativa corrispondenza ai requisiti prescritti per i soggetti registrati, ai fini dell’inserimento nell’elenco di cui all’articolo 7, comma 2, assicurando altresì adeguata pubblicità ai criteri concernenti l’ambito di applicazione del presente decreto e dei relativi obblighi.

2. L’Autorità nazionale competente NIS monitora l’attuazione degli obblighi di cui al presente decreto da parte dei soggetti che rien

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077978
Art. 36. - Verifiche e ispezioni

1. L’Autorità nazionale competente NIS, nell’esercizio dei poteri di verifica e ispettivi nei confronti dei soggetti che rientrano nell’ambito di applicazione del presente decreto, può sottoporre questi ultimi a:

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077979
Art. 37. - Misure di esecuzione

1. L’Autorità nazionale competente NIS, ai fini dell’esercizio dei suoi poteri di esecuzione, tiene anche conto degli esiti delle attività di monitoraggio, analisi e supporto di cui all’articolo 35 e delle risultanze dell’esercizio dei poteri di verifica e ispettivi di cui all’articolo 36.

2. L’Autorità nazionale competente NIS, nell’esercizio dei suoi poteri di esecuzione può richiedere ai soggetti, dichiarandone la finalità, di fornire i dati che dimostrino l’attuazione di politiche di sicurezza informatica, quali i risultati di audit sulla sicurezza e i relativi elementi di prova, nonché le informazioni necessarie per lo svolgimento dei propri compiti istituzionali anche ai fini:

a) della valutazione delle misure di gestione dei rischi per la sicurezza informatica;

b) del rispetto degli obblighi di trasmissione, comunicazione e notifica di cui al presente decreto.

3. L’Autori

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077980
Art. 38. - Sanzioni amministrative

1. L’Autorità nazionale competente NIS, ai fini dell’esercizio dei suoi poteri sanzionatori, tiene anche conto degli esiti delle attività di monitoraggio, supporto e analisi di cui all’articolo 35, delle risultanze dell’esercizio dei poteri di verifica e ispettivi di cui all’articolo 36, nonché dell’esercizio dei poteri di esecuzione di cui all’articolo 37.

2. Fermi restando i criteri di cui all’articolo 34, comma 6, l’Agenzia per la cybersicurezza nazionale con una o più determinazioni, adottate secondo le modalità dell’articolo 40, comma 5, può specificare laddove necessario i criteri per la determinazione dell’importo delle sanzioni per le violazioni di cui ai commi 8 e 10 del presente articolo, adottando tutte le misure necessarie per assicurarne l’effettività, la proporzionalità, la dissuasività e l’applicazione.

3. L’esercizio dei poteri di cui all’articolo 37 non impedisce la contestazione delle violazioni di cui ai commi 8 e 10 del presente articolo, nonché la relativa irrogazione di sanzioni amministrative di cui al presente articolo.

4. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale competente NIS può sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un’autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea è applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all’articolo 37, commi 6 e 7. Le disposizioni di cui al presente comma non si applicano alle pubbliche amministrazioni di cui all’allegato III, nonché ai soggetti rientranti fra le tipologie di cui all’allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalità di cui all’articolo 40, comma 4.

5. Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.

6. Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all’articolo 37, commi 6 e 7, l’Autorità nazionale

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077981
Art. 39. - Assistenza reciproca

1. L’Autorità nazionale competente NIS coopera e assiste le autorità competenti degli altri Stati membri interessati, nonché può richiedere la cooperazione e l’assistenza reciproca alle medesime, in funzione delle necessità, nei seguenti casi:

a) un soggetto, considerato sotto la giurisdizione nazionale ai sensi dell’articolo 5 o i cui sistemi informativi e di rete sono ubicati sul territorio nazionale, fornisce servizi in uno o più altri Stati membri;

b) un soggetto, considerato sotto la giurisdizione di altri Stati membri ai sensi dell’articolo 5 o i cui sistemi informativi e di rete sono ubicati sul territorio di altri Stati membri, fo

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077982
Capo VI - DISPOSIZIONI FINALI E TRANSITORIE
IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077983
Art. 40. - Attuazione

1. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, su proposta dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS di cui all’articolo 12 e previo parere del Comitato interministeriale per la cybersicurezza, di cui all’articolo 4 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109:

a) sono definiti i criteri per l’applicazione della clausola di salvaguardia di cui all’articolo 3, comma 4;

b) sono stabiliti i criteri, le procedure e le modalità di cui all’articolo 34, comma 10;

c) sono individuate le modalità di applicazione, nell’ambito del procedimento sanzionatorio, degli strumenti deflattivi del contenzioso di cui all’articolo 38, comma 15.

2. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, su proposta dell’Agenzia per la cybersicurezza nazionale, d’intesa con le Autorità di settore NIS interessate, sentito il Tavolo per l’attuazione della disciplina NIS e previo parere del Comitato interministeriale per la cybersicurezza:

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077984
Art. 41. - Regime transitorio e abrogazioni

1. Le disposizioni di cui al presente decreto si applicano a decorrere dal 18 ottobre 2024.

2. A decorrere dal 18 ottobre 2024 il decreto legislativo 18 maggio 2018, n. 65, è abrogato, a esclusione dell’articol

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077985
Art. 42. - Fase di prima applicazione

1. In fase di prima applicazione:

a) ai sensi dell’articolo 7, entro il 17 gennaio 2025, i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi d

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077986
Art. 43. - Modifiche normative

1. Al fine di assicurarne la coerenza con l’architettura nazionale di cybersicurezza e con i compiti dell’Agenzia per la cybersicurezza nazionale, al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni:

a) all’articolo 1, comma 1:

1) la lettera d) è sostituita dalla seguente:

«d) decreto legislativo NIS, il decreto legislativo di recepimento della direttiva (UE) 2022/2555, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la diret

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077987
Art. 44. - Disposizioni finanziarie

1. Le spese ICT sostenute dalle pubbliche amministrazioni ai sensi degli articoli 10, 11, 13 e 15 del presente decreto e, più in generale le spese ICT sostenute per l’adeguamento dei sistemi informativi al presente decreto, sono coerenti con il Piano triennale per l’informatica nella pubblica amministrazione ai sensi dell’articolo 1, commi da 512 a 520, della

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.
12052205 12077988
ALLEGATO - SCHEMA DI DECRETO LEGISLATIVO DI RECEPIMENTO DELLA NIS2

Parte di provvedimento in formato grafico

IL CONTENUTO COMPLETO E' RISERVATO AGLI ABBONATI.

Dalla redazione