“Art. 1. - Oggetto e ambito di applicazione

1. Il presente decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

2. Ai fini del comma 1, il presente decreto prevede:

a) l’inclusione nella strategia nazionale di cybersicurezza di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell’ambito di applicazione del presente decreto;

b) la designazione dell’autorità nazionale competente NIS, delle autorità di settore e del punto di contatto unico, nonché del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) in ambito nazionale per lo svolgimento dei compiti di cui all’allegato I;

c) il rispetto di obblighi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali relativamente all’adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante;

d) la partecipazione nazionale al gruppo di cooperazione europeo, nell’ottica della collaborazione e dello scambio di informazioni tra Stati membri dell’Unione europea, nonché dell’incremento della fiducia tra di essi;

e) la partecipazione nazionale alla rete CSIRT nell’ottica di assicurare una cooperazione tecnico-operativa rapida ed efficace.

3. Le disposizioni in materia di misure di sicurezza e di notifica degli incidenti di cui al presente decreto non si applicano alle imprese soggette agli obblighi di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, né ai prestatori di servizi fiduciari soggetti agli obblighi di cui all’articolo 19 del regolamento (UE) n. 910/2014.

4. Il presente decreto si applica fatto salvo quanto previsto dal decreto legislativo 11 aprile 2011, n. 61, e dalla direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI, del Consiglio.

5. Fatto salvo quanto previsto dall’articolo 346 del trattato sul funzionamento dell’Unione europea, le informazioni riservate secondo quanto disposto dalla normativa dell’Unione europea e nazionale, in particolare per quanto concerne la riservatezza degli affari, sono scambiate con la Commissione europea e con altre autorità competenti NIS solo nella misura in cui tale scambio sia necessario ai fini dell’applicazione del presente decreto. Le informazioni scambiate sono pertinenti e commisurate allo scopo. Lo scambio di informazioni ne tutela la riservatezza e protegge la sicurezza e gli interessi commerciali degli operatori di servizi essenziali e dei fornitori di servizi digitali.

6. Il presente decreto lascia impregiudicate le misure adottate per salvaguardare le funzioni essenziali dello Stato, in particolare di tutela della sicurezza nazionale, comprese le misure volte a tutelare le informazioni, nei casi in cui la divulgazione sia ritenuta contraria agli interessi essenziali di sicurezza e di mantenimento dell’ordine pubblico, in particolare a fini di indagine, accertamento e perseguimento di reati.

7. Qualora gli obblighi previsti per gli operatori di servizi essenziali o i fornitori di servizi digitali di assicurare la sicurezza delle loro reti e dei loro sistemi informativi o di notificare gli incidenti siano oggetto di uno specifico atto giuridico dell’Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto.”