Articolo modificato dalla legge di conversione 04/08/2021, n. 109 e, successivamente, abrogato dall’art. 43, comma 1, del D. Leg.vo 04/09/2024, n. 138, così recitava:

“Art. 15. - Modificazioni al decreto legislativo NIS

1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni:

a) all’articolo 1, comma 2, lettera a), le parole: «strategia nazionale di sicurezza cibernetica» sono sostituite dalle seguenti: «strategia nazionale di cybersicurezza»;

b) all’articolo 1, comma 2, lettera b), le parole: «delle autorità nazionali competenti» sono sostituite dalle seguenti: «dell’autorità nazionale competente NIS, delle autorità di settore»;

c) all’articolo 3, lettera a), le parole da: «autorità competente NIS» a: «per settore,» sono sostituite dalle seguenti: «autorità nazionale competente NIS, l’autorità nazionale unica, competente»;

d) all’articolo 3, dopo la lettera a), è inserita la seguente: «a-bis) autorità di settore, le autorità di cui all’articolo 7, comma 1, lettere da a) a e)»;

e) all’articolo 4, il comma 6 è sostituito dal seguente:

«6. L’elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità:

a) le autorità di settore, in relazione ai settori di competenza, propongono all’autorità nazionale competente NIS le variazioni all’elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3;

b) le proposte sono valutate ed eventualmente integrate, d’intesa con le autorità di settore, dall’autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell’elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore.»;

f) all’articolo 6, nella rubrica, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: “cybersicurezza”; ai commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; al comma 4, le parole: «La Presidenza del Consiglio dei ministri» sono sostituite dalle seguenti: «L’Agenzia per la cybersicurezza» e le parole: «sicurezza cibernetica» sono sostituite dalla seguente: “cybersicurezza”;

g) l’articolo 7 è sostituito dal seguente:

«Art. 7 (Autorità nazionale competente e punto di contatto unico). — 1. L’Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all’allegato II e per i servizi di cui all’allegato III. Sono designate quali autorità di settore:

a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonché per i servizi digitali;

b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d’acqua e su strada;

c) il Ministero dell’economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d’Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell’economia e delle finanze;

d) il Ministero della salute, per l’attività di assistenza sanitaria, come definita dall’articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati dalle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;

f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.

2. L’autorità nazionale competente NIS è responsabile dell’attuazione del presente decreto con riguardo ai settori di cui all’allegato II e ai servizi di cui all’allegato III e vigila sull’applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.

3. L’Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.

4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell’autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonché con il gruppo di cooperazione di cui all’articolo 10 e la rete di CSIRT di cui all’articolo 11.

5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.

6. L’Agenzia per la cybersicurezza nazionale, in qualità di autorità nazionale competente NIS e di punto di contatto unico, consulta, conformemente alla normativa vigente, l’autorità di contrasto ed il Garante per la protezione dei dati personali e collabora con essi.

7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell’autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.

8. Agli oneri derivanti dal presente articolo, pari a 1.300.000 euro annui a decorrere dall’anno 2018, si provvede ai sensi dell’articolo 22.»;

h) all’articolo 8, comma 1, le parole da: «la Presidenza» a: «la sicurezza» sono sostituite dalle seguenti: «l’Agenzia per la cybersicurezza nazionale»;

i) l’articolo 9, comma 1, è sostituito dal seguente:

«1. Le autorità di settore collaborano con l’autorità nazionale competente NIS per l’adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l’Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato è presieduto dall’autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L’organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o rimborsi di spese.»;

l) all’articolo 12, comma 5, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;

m) all’articolo 14, comma 4, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse;

n) all’articolo 19, comma 1, le parole: «dalle autorità competenti NIS» sono sostituite dalle seguenti: «dall’autorità nazionale competente NIS»;

o) all’articolo 19, il comma 2 è abrogato;

p) all’articolo 20, comma 1, le parole da: «Le autorità competenti NIS» a: «sono competenti» sono sostituite da: «L’autorità nazionale competente NIS è competente»;

q) all’allegato I:

1) al punto 1, dopo la lettera d) è aggiunta la seguente:

«d-bis) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica»;

2) al punto 2, lettera c), dopo la parola: «standardizzate» sono inserite le seguenti: «, secondo le migliori pratiche internazionalmente riconosciute,».

2. Nel decreto legislativo NIS:

a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all’articolo 7, comma 1, lettera a), del medesimo decreto legislativo, come sostituito dal comma 1, lettera g), del presente articolo;

b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all’Agenzia per la cybersicurezza nazionale;

c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all’autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all’articolo 5, comma 1, del medesimo decreto legislativo, come modificato dalla lettera d) del presente comma;

d) all’articolo 5, comma 1, alinea, le parole: «le autorità competenti NIS» sono sostituite dalle seguenti: «l’autorità nazionale competente NIS e le autorità di settore»;

e) agli articoli 6 e 12, le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» sono sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».”

Dalla redazione