§ 81.1.70 - D.Lgs. 18 maggio 2018, n. 65.
Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato [...]


Settore:Normativa nazionale
Materia:81. Pubblica sicurezza
Capitolo:81.1 disciplina generale
Data:18/05/2018
Numero:65


Sommario
Art. 1.  Oggetto e ambito di applicazione
Art. 2.  Trattamento dei dati personali
Art. 3.  Definizioni
Art. 4.  Identificazione degli operatori di servizi essenziali
Art. 5.  Effetti negativi rilevanti
Art. 6.  Strategia nazionale di cybersicurezza
Art. 7.  Autorità nazionale competente e punto di contatto unico
Art. 8.  Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT
Art. 9.  Cooperazione a livello nazionale
Art. 10.  Gruppo di cooperazione
Art. 11.  Rete di CSIRT
Art. 12.  Obblighi in materia di sicurezza e notifica degli incidenti
Art. 13.  Attuazione e controllo
Art. 14.  Obblighi in materia di sicurezza e notifica degli incidenti
Art. 15.  Attuazione e controllo
Art. 16.  Giurisdizione e territorialità
Art. 17.  Normazione
Art. 18.  Notifica volontaria
Art. 19.  Poteri ispettivi
Art. 20.  Autorità competente e regime dell'accertamento e dell'irrogazione delle sanzioni amministrative
Art. 21.  Sanzioni amministrative
Art. 22.  Disposizioni finanziarie


§ 81.1.70 - D.Lgs. 18 maggio 2018, n. 65. [1]

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.

(G.U. 9 giugno 2018, n. 132)

 

     IL PRESIDENTE DELLA REPUBBLICA

 

     Visti gli articoli 76 e 87, quinto comma, della Costituzione;

     Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea;

     Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017;

     Vista la Direttiva 6 luglio 2016, n. 1148 del Parlamento europeo e del Consiglio, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione;

     Visto il regolamento (CE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;

     Vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio;

     Vista la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese;

     Visto il Regolamento di esecuzione della Commissione n. 2018/151/UE del 30 gennaio 2018 recante modalità di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l'ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l'eventuale impatto rilevante di un incidente;

     Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale;

     Visto il decreto legislativo 4 marzo 2014, n. 39, recante attuazione della direttiva 2011/93/UE relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, che sostituisce la decisione quadro 2004;

     Vista la legge 3 agosto 2007, n. 124, recante sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto;

     Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198, recante proroga delle missioni internazionali delle Forze armate e di polizia, iniziative di cooperazione allo sviluppo e sostegno ai processi di ricostruzione e partecipazione alle iniziative delle organizzazioni internazionali per il consolidamento dei processi di pace e di stabilizzazione;

     Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante misure urgenti per la crescita del Paese, e, in particolare, l'articolo 19, che ha istituito l'Agenzia per l'Italia digitale (AgID);

     Visto il decreto legislativo 7 marzo 2005, n. 82, recante il codice dell'amministrazione digitale e, in particolare, le disposizioni in materia di funzioni dell'AgID e di sicurezza informatica;

     Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della direttiva 2008/114/CE, recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione;

     Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, recante disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva;

     Vista la direttiva adottata con decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017;

     Visto il decreto legislativo 30 giugno 2003, n. 196, recante il codice in materia di protezione dei dati personali;

     Visto il decreto legislativo 1° agosto 2003, n. 259, recante il codice delle comunicazioni elettroniche;

     Visto il decreto legislativo 23 giugno 2011, n. 118, recante disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42;

     Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione dell'8 febbraio 2018;

     Acquisito il parere della Conferenza Unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta del 19 aprile 2018;

     Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;

     Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 16 maggio 2018;

     Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, della giustizia, dell'interno, della difesa, della salute e dell'economia e delle finanze;

 

     Emana

     il seguente decreto legislativo:

 

Capo I

Disposizioni generali

 

Art. 1. Oggetto e ambito di applicazione

     1. Il presente decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea.

     2. Ai fini del comma 1, il presente decreto prevede:

     a) l'inclusione nella strategia nazionale di cybersicurezza di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell'ambito di applicazione del presente decreto [2];

     b) la designazione dell'autorità nazionale competente NIS, delle autorità di settore e del punto di contatto unico, nonchè del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) in ambito nazionale per lo svolgimento dei compiti di cui all'allegato I [3];

     c) il rispetto di obblighi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali relativamente all'adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante;

     d) la partecipazione nazionale al gruppo di cooperazione europeo, nell'ottica della collaborazione e dello scambio di informazioni tra Stati membri dell'Unione europea, nonchè dell'incremento della fiducia tra di essi;

     e) la partecipazione nazionale alla rete CSIRT nell'ottica di assicurare una cooperazione tecnico-operativa rapida ed efficace.

     3. Le disposizioni in materia di misure di sicurezza e di notifica degli incidenti di cui al presente decreto non si applicano alle imprese soggette agli obblighi di cui agli articoli 16-bis e 16-ter del decreto legislativo 1 agosto 2003, n. 259, nè ai prestatori di servizi fiduciari soggetti agli obblighi di cui all'articolo 19 del regolamento (UE) n. 910/2014.

     4. Il presente decreto si applica fatto salvo quanto previsto dal decreto legislativo 11 aprile 2011, n. 61, e dalla direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI, del Consiglio.

     5. Fatto salvo quanto previsto dall'articolo 346 del trattato sul funzionamento dell'Unione europea, le informazioni riservate secondo quanto disposto dalla normativa dell'Unione europea e nazionale, in particolare per quanto concerne la riservatezza degli affari, sono scambiate con la Commissione europea e con altre autorità competenti NIS solo nella misura in cui tale scambio sia necessario ai fini dell'applicazione del presente decreto. Le informazioni scambiate sono pertinenti e commisurate allo scopo. Lo scambio di informazioni ne tutela la riservatezza e protegge la sicurezza e gli interessi commerciali degli operatori di servizi essenziali e dei fornitori di servizi digitali.

     6. Il presente decreto lascia impregiudicate le misure adottate per salvaguardare le funzioni essenziali dello Stato, in particolare di tutela della sicurezza nazionale, comprese le misure volte a tutelare le informazioni, nei casi in cui la divulgazione sia ritenuta contraria agli interessi essenziali di sicurezza e di mantenimento dell'ordine pubblico, in particolare a fini di indagine, accertamento e perseguimento di reati.

     7. Qualora gli obblighi previsti per gli operatori di servizi essenziali o i fornitori di servizi digitali di assicurare la sicurezza delle loro reti e dei loro sistemi informativi o di notificare gli incidenti siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto.

 

     Art. 2. Trattamento dei dati personali

     1. Il trattamento dei dati personali in applicazione del presente decreto è effettuato ai sensi del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni.

 

     Art. 3. Definizioni

     1. Ai fini del presente decreto si intende per:

     a) autorità nazionale competente NIS, l'autorità nazionale unica, competente, in materia di sicurezza delle reti e dei sistemi informativi, di cui all'articolo 7, comma 1 [4];

     a-bis) autorità di settore, le autorità di cui all'articolo 7, comma 1, lettere da a) a e) [5];

     b) CSIRT, gruppo di intervento per la sicurezza informatica in caso di incidente, di cui all'articolo 8;

     c) punto di contatto unico, l'organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea;

     d) autorità di contrasto, l'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n.155;

     e) rete e sistema informativo:

     1) una rete di comunicazione elettronica ai sensi dell'articolo 1, comma 1, lettera dd), del decreto legislativo 1° agosto 2003, n. 259;

     2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali;

     3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione;

     f) sicurezza della rete e dei sistemi informativi, la capacità di una rete e dei sistemi informativi di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi;

     g) operatore di servizi essenziali, soggetto pubblico o privato, della tipologia di cui all'allegato II, che soddisfa i criteri di cui all'articolo 4, comma 2;

     h) servizio digitale, servizio ai sensi dell'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, di un tipo elencato nell'allegato III;

     i) fornitore di servizio digitale, qualsiasi persona giuridica che fornisce un servizio digitale;

     l) incidente, ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi;

     m) trattamento dell'incidente, tutte le procedure necessarie per l'identificazione, l'analisi e il contenimento di un incidente e l'intervento in caso di incidente;

     n) rischio, ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza della rete e dei sistemi informativi;

     o) rappresentante, la persona fisica o giuridica stabilita nell'Unione europea espressamente designata ad agire per conto di un fornitore di servizi digitali che non è stabilito nell'Unione europea, a cui l'autorità competente NIS o il CSIRT Nazionale può rivolgersi in luogo del fornitore di servizi digitali, per quanto riguarda gli obblighi di quest'ultimo ai sensi del presente decreto;

     p) norma, una norma ai sensi dell'articolo 2, primo paragrafo, numero 1), del regolamento (UE) n. 1025/2012;

     q) specifica, una specifica tecnica ai sensi dell'articolo 2, primo paragrafo, numero 4), del regolamento (UE) n. 1025/2012;

     r) punto di interscambio internet (IXP), una infrastruttura di rete che consente l'interconnessione di più di due sistemi autonomi indipendenti, principalmente al fine di agevolare lo scambio del traffico internet; un IXP fornisce interconnessione soltanto ai sistemi autonomi; un IXP non richiede che il traffico internet che passa tra qualsiasi coppia di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo, nè altera o interferisce altrimenti con tale traffico;

     s) sistema dei nomi di dominio (DNS), è un sistema distribuito e gerarchico di naming in una rete che inoltra le richieste dei nomi di dominio;

     t) fornitore di servizi DNS, un soggetto che fornisce servizi DNS su internet;

     u) registro dei nomi di dominio di primo livello, un soggetto che amministra e opera la registrazione di nomi di dominio internet nell'ambito di uno specifico dominio di primo livello (TLD);

     v) mercato online, un servizio digitale che consente ai consumatori ovvero ai professionisti, come definiti rispettivamente all'articolo 141, comma 1, lettere a) e b), del decreto legislativo 6 settembre 2005, n. 206, di concludere contratti di vendita o di servizi online con i professionisti sia sul sito web del mercato online sia sul sito web di un professionista che utilizza i servizi informatici forniti dal mercato on line;

     z) motore di ricerca on line, un servizio digitale che consente all'utente di effettuare ricerche, in linea di principio, su tutti i siti web o su siti web in una lingua particolare sulla base di un'interrogazione su qualsiasi tema sotto forma di parola chiave, frase o di altra immissione, e fornisce i link in cui possono essere trovate le informazioni relative al contenuto richiesto;

     aa) servizio di cloud computing, un servizio digitale che consente l'accesso a un insieme scalabile ed elastico di risorse informatiche condivisibili.

 

     Art. 4. Identificazione degli operatori di servizi essenziali

     1. Entro il 9 novembre 2018, con propri provvedimenti, le autorità competenti NIS identificano per ciascun settore e sottosettore di cui all'allegato II, gli operatori di servizi essenziali con una sede nel territorio nazionale. Gli operatori che prestano attività di assistenza sanitaria sono individuati con decreto del Ministro della salute, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. Gli operatori che forniscono e distribuiscono acque destinate al consumo umano sono individuati con decreto del Ministro dell'ambiente e della tutela del territorio e del mare, di intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano.

     2. I criteri per l'identificazione degli operatori di servizi essenziali sono i seguenti:

     a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;

     b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi;

     c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

     3. Oltre ai criteri indicati nel comma 2, nell'individuazione degli operatori di servizi essenziali si tiene conto dei documenti prodotti al riguardo dal Gruppo di cooperazione di cui all'articolo 10.

     4. Ai fini del comma 1, prima dell'adozione dei provvedimenti previsti dalla medesima disposizione, qualora un soggetto fornisca un servizio di cui al comma 2, lettera a), sul territorio nazionale e in altro o altri Stati membri dell'Unione europea, le autorità competenti NIS consultano le autorità competenti degli altri Stati membri.

     5. È istituito presso il Ministero dello sviluppo economico un elenco nazionale degli operatori di servizi essenziali. Il Ministero dello sviluppo economico inoltra tale elenco al punto di contatto unico e all'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 [6].

     6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 è riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalità:

     a) le autorità di settore, in relazione ai settori di competenza, propongono all'autorità nazionale competente NIS le variazioni all'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3;

     b) le proposte sono valutate ed eventualmente integrate, d'intesa con le autorità di settore, dall'autorità nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorità di settore [7].

     7. Entro il 9 novembre 2018, e in seguito ogni due anni, il punto di contatto unico trasmette alla Commissione europea le informazioni necessarie per la valutazione dell'attuazione del presente decreto, in particolare della coerenza dell'approccio in merito all'identificazione degli operatori di servizi essenziali.

     8. Le informazioni di cui al comma 7 comprendono almeno:

     a) le misure nazionali che consentono l'identificazione degli operatori di servizi essenziali;

     b) l'elenco dei servizi di cui al comma 2;

     c) il numero degli operatori di servizi essenziali identificati per ciascun settore di cui all'allegato II ed un'indicazione della loro importanza in relazione a tale settore;

     d) le soglie, ove esistano, per determinare il pertinente livello di fornitura con riferimento al numero di utenti che dipendono da tale servizio di cui all'articolo 5, comma 1, lettera a), o all'importanza di tale particolare operatore di servizi essenziali di cui all'articolo 5, comma 1, lettera f).

 

     Art. 5. Effetti negativi rilevanti

     1. Ai fini della determinazione della rilevanza degli effetti negativi di cui all'articolo 4, comma 2, lettera c), l'autorità nazionale competente NIS e le autorità di settore considerano i seguenti fattori intersettoriali [8]:

     a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato;

     b) la dipendenza di altri settori di cui all'allegato II dal servizio fornito da tale soggetto;

     c) l'impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza;

     d) la quota di mercato di detto soggetto;

     e) la diffusione geografica relativamente all'area che potrebbe essere interessata da un incidente;

     f) l'importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio.

     2. Al fine della determinazione degli effetti negativi rilevanti di un incidente sono altresì considerati, ove opportuno, fattori settoriali.

 

Capo II

Contesto strategico e istituzionale

 

     Art. 6. Strategia nazionale di cybersicurezza [9]

     1. Il Presidente del Consiglio dei ministri adotta, sentito il Comitato interministeriale per la cybersicurezza (CIC), la strategia nazionale di cybersicurezza per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale.

     2. Nell'ambito della strategia nazionale di cybersicurezza, sono in particolare indicati, per la sicurezza di reti e sistemi informativi rientranti nell'ambito di applicazione del presente decreto:

     a) gli obiettivi e le priorità in materia di sicurezza delle reti e dei sistemi informativi;

     b) il quadro di governance per conseguire gli obiettivi e le priorità, inclusi i ruoli e le responsabilità degli organismi pubblici e degli altri attori pertinenti;

     c) le misure di preparazione, risposta e recupero, inclusa la collaborazione tra settore pubblico e settore privato;

     d) i programmi di formazione, sensibilizzazione e istruzione relativi alla strategia in materia di sicurezza delle reti e dei sistemi informativi;

     e) i piani di ricerca e sviluppo;

     f) un piano di valutazione dei rischi;

     g) l'elenco dei vari attori coinvolti nell'attuazione.

     3. Con la procedura di cui al comma 1 sono adottate linee di indirizzo per l'attuazione della strategia nazionale di cybersicurezza.

     4. L'Agenzia per la cybersicurezza trasmette la strategia nazionale in materia di cybersicurezza alla Commissione europea entro tre mesi dalla sua adozione. Può essere esclusa la trasmissione di elementi della strategia riguardanti la sicurezza nazionale.

 

     Art. 7. Autorità nazionale competente e punto di contatto unico [10]

     1. L'Agenzia per la cybersicurezza nazionale è designata quale autorità nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorità di settore:

     a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonchè per i servizi digitali;

     b) il Ministero delle infrastrutture e della mobilità sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;

     c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, secondo modalità di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze;

     d) il Ministero della salute, per l'attività di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati dalle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza;

     e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio;

     f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorità territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile.

     2. L'autorità nazionale competente NIS è responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresì le relative potestà ispettive e sanzionatorie.

     3. L'Agenzia per la cybersicurezza nazionale è designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi.

     4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorità nazionale competente NIS con le autorità competenti degli altri Stati membri, nonchè con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.

     5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati.

     6. L'Agenzia per la cybersicurezza nazionale, in qualità di autorità nazionale competente NIS e di punto di contatto unico, consulta, conformemente alla normativa vigente, l'autorità di contrasto ed il Garante per la protezione dei dati personali e collabora con essi.

     7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorità nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicità.

     8. Agli oneri derivanti dal presente articolo, pari a 1.300.000 euro annui a decorrere dall'anno 2018, si provvede ai sensi dell'articolo 22.

 

     Art. 8. Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT

     1. È istituito, presso l'Agenzia per la cybersicurezza nazionale, il CSIRT italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82 [11].

     2. L'organizzazione e il funzionamento del CSIRT italiano sono disciplinati con decreto del Presidente del Consiglio dei ministri ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, da adottare entro il 9 novembre 2018. [Per lo svolgimento delle funzioni del CSIRT italiano, la Presidenza del Consiglio dei ministri si avvale di un contingente massimo di trenta unità di personale, di cui quindici scelti tra dipendenti di altre amministrazioni pubbliche, in posizione di comando o fuori ruolo, per i quali si applica l'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, e quindici da assumere, nel limite della dotazione organica vigente, in aggiunta alle ordinarie facoltà assunzionali della Presidenza del Consiglio dei ministri, nel limite di spesa annuo di 1.300.000 di euro a decorrere dal 2018. Ai relativi oneri si provvede ai sensi dell'articolo 22 [12]].

     3. Nelle more dell'adozione del decreto di cui al comma 2, le funzioni di CSIRT italiano sono svolte dal CERT nazionale unitamente al CERT-PA in collaborazione tra loro.

     4. Il CSIRT italiano assicura la conformità ai requisiti di cui all'allegato I, punto 1, svolge i compiti di cui all'allegato I, punto 2, si occupa dei settori di cui all'allegato II e dei servizi di cui all'allegato III e dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale.

     5. Il CSIRT italiano definisce le procedure per la prevenzione e la gestione degli incidenti informatici.

     6. Il CSIRT italiano garantisce la collaborazione effettiva, efficiente e sicura, nella rete di CSIRT di cui all'articolo 11.

     7. La Presidenza del Consiglio dei ministri comunica alla Commissione europea il mandato del CSIRT italiano e le modalità di trattamento degli incidenti a questo affidati.

     8. Il CSIRT italiano, per lo svolgimento delle proprie funzioni, può avvalersi anche dell'Agenzia per l'Italia digitale.

     9. Le funzioni svolte dal Ministero dello sviluppo economico in qualità di CERT nazionale ai sensi dell'articolo 16-bis, del decreto legislativo 1° agosto 2003, n. 259, nonchè quelle svolte da Agenzia per l'Italia digitale in qualità di CERT-PA, ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al CSIRT italiano a far data dalla entrata in vigore del decreto di cui al comma 2.

     10. Per le spese relative al funzionamento del CSIRT italiano è autorizzata la spesa di 2.000.000 di euro annui a decorrere dall'anno 2020. A tali oneri si provvede ai sensi dell'articolo 22 [13].

 

     Art. 9. Cooperazione a livello nazionale

     1. Le autorità di settore collaborano con l'autorità nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine è istituito presso l'Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato è presieduto dall'autorità nazionale competente NIS ed è composto dai rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato è definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o di spese [14].

     2. Gli operatori di servizi essenziali e i fornitori di servizi digitali inviano le notifiche relative ad incidenti al CSIRT italiano.

     3. Il CSIRT italiano informa le autorità competenti NIS, il punto di contatto unico e l'organo del Ministero dell'interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, in merito alle notifiche di incidenti trasmesse ai sensi del presente decreto [15].

 

Capo III

Cooperazione

 

     Art. 10. Gruppo di cooperazione

     1. Il punto di contatto unico partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA) e, in particolare, contribuisce a:

     a) condividere buone pratiche sullo scambio di informazioni relative alla notifica di incidenti di cui all'articolo 12 e all'articolo 14;

     b) scambiare migliori pratiche con gli Stati membri e, in collaborazione con l'ENISA, fornire supporto per la creazione di capacità in materia di sicurezza delle reti e dei sistemi informativi;

     c) discutere le capacità e lo stato di preparazione degli Stati membri e valutare, su base volontaria, le strategie nazionali in materia di sicurezza delle reti e dei sistemi informativi e l'efficacia dei CSIRT e individuare le migliori pratiche;

     d) scambiare informazioni e migliori pratiche in materia di sensibilizzazione e formazione;

     e) scambiare informazioni e migliori pratiche in materia di ricerca e sviluppo riguardo alla sicurezza delle reti e dei sistemi informativi;

     f) scambiare, ove opportuno, esperienze in materia di sicurezza delle reti e dei sistemi informativi con le istituzioni, gli organi e gli organismi pertinenti dell'Unione europea;

     g) discutere le norme e le specifiche di cui all'articolo 17 con i rappresentanti delle pertinenti organizzazioni di normazione europee;

     h) fornire informazioni in relazione ai rischi e agli incidenti;

     i) esaminare, su base annuale, le relazioni sintetiche di cui al comma 4;

     l) discutere il lavoro svolto riguardo a esercitazioni in materia di sicurezza delle reti e dei sistemi informativi, programmi di istruzione e formazione, comprese le attività svolte dall'ENISA;

     m) con l'assistenza dell'ENISA, scambiare migliori pratiche connesse all'identificazione degli operatori di servizi essenziali da parte degli Stati membri, anche in relazione alle dipendenze transfrontaliere riguardo a rischi e incidenti;

     n) discutere modalità per la comunicazione di notifiche di incidenti di cui agli articoli 12 e 14.

     2. Le autorità competenti NIS, attraverso il punto di contatto unico, assicurano la partecipazione al gruppo di cooperazione al fine di elaborare ed adottare orientamenti sulle circostanze in cui gli operatori di servizi essenziali sono tenuti a notificare gli incidenti, compresi i parametri di cui all'articolo 12, comma 8.

     3. Il punto di contatto unico, ove necessario, chiede alle autorità competenti NIS interessate, nonchè al CSIRT, la partecipazione al gruppo di cooperazione.

     4. Entro il 9 agosto 2018 e in seguito ogni anno, il punto di contatto unico trasmette una relazione sintetica al gruppo di cooperazione in merito alle notifiche ricevute, compresi il numero di notifiche e la natura degli incidenti notificati e alle azioni intraprese ai sensi degli articoli 12 e 14.

 

     Art. 11. Rete di CSIRT

     1. Il CSIRT italiano partecipa alla rete di CSIRT, composta da rappresentanti dei CSIRT degli Stati membri e del CERT-UE.

     2. Il CSIRT italiano, ai fini del comma 1, provvede a:

     a) scambiare informazioni sui servizi, sulle operazioni e sulle capacità di cooperazione dei CSIRT;

     b) su richiesta del rappresentante di un CSIRT di uno Stato membro potenzialmente interessato da un incidente, scambiare e discutere informazioni non sensibili sul piano commerciale connesse a tale incidente e i rischi associati, ad eccezione dei casi in cui lo scambio di informazioni potrebbe compromettere l'indagine sull'incidente;

     c) scambiare e mettere a disposizione su base volontaria informazioni non riservate su singoli incidenti;

     d) su richiesta di un rappresentante di un CSIRT di un altro Stato membro, discutere e, ove possibile, individuare un intervento coordinato per un incidente rilevato nella giurisdizione di quello stesso Stato membro;

     e) fornire sostegno agli altri Stati membri nel far fronte a incidenti transfrontalieri sulla base dell'assistenza reciproca volontaria;

     f) discutere, esaminare e individuare ulteriori forme di cooperazione operativa, anche in relazione a:

     1) categorie di rischi e di incidenti;

     2) preallarmi;

     3) assistenza reciproca;

     4) principi e modalità di coordinamento, quando gli Stati membri intervengono in relazione a rischi e incidenti transfrontalieri;

     g) informare il gruppo di cooperazione in merito alle proprie attività e a ulteriori forme di cooperazione operativa discusse sulla scorta della lettera f) e chiedere orientamenti in merito;

     h) discutere gli insegnamenti appresi dalle esercitazioni in materia di sicurezza delle reti e dei sistemi informativi, comprese quelle organizzate dall'ENISA;

     i) formulare orientamenti volti ad agevolare la convergenza delle pratiche operative in relazione all'applicazione delle disposizioni del presente articolo in materia di cooperazione operativa.

 

Capo IV

Sicurezza della rete e dei sistemi informativi degli operatori di servizi essenziali

 

     Art. 12. Obblighi in materia di sicurezza e notifica degli incidenti

     1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

     2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

     3. Nell'adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all'articolo 10, nonchè delle linee guida di cui al comma 7.

     4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorità competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali.

     5. Gli operatori di servizi essenziali notificano al CSIRT italiano senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti [16].

     6. Il CSIRT italiano inoltra tempestivamente le notifiche all'organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la cybersicurezza (CIC), delle attività di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento [17].

     7. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell'incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità rispetto a quella derivante dall'incidente. Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti.

     8. Per determinare la rilevanza dell'impatto di un incidente si tiene conto in particolare dei seguenti parametri:

     a) il numero di utenti interessati dalla perturbazione del servizio essenziale;

     b) la durata dell'incidente;

     c) la diffusione geografica relativamente all'area interessata dall'incidente.

     9. Sulla base delle informazioni fornite nella notifica da parte dell'operatore di servizi essenziali, il CSIRT italiano informa gli eventuali altri Stati membri interessati in cui l'incidente ha un impatto rilevante sulla continuità dei servizi essenziali.

     10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente al diritto dell'Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell'operatore di servizi essenziali, nonchè la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall'articolo 1, comma 5.

     11. Ove le circostanze lo consentano, il CSIRT italiano fornisce all'operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonchè le informazioni che possono facilitare un trattamento efficace dell'incidente.

     12. Su richiesta dell'autorità competente NIS o del CSIRT italiano, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati.

     13. Previa valutazione da parte dell'organo di cui al comma 6, l'autorità competente NIS, d'intesa con il CSIRT italiano, dopo aver consultato l'operatore dei servizi essenziali notificante, può informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso.

     14. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci.

 

     Art. 13. Attuazione e controllo

     1. Le autorità competenti NIS valutano il rispetto da parte degli operatori di servizi essenziali degli obblighi previsti dall'articolo 12, nonchè i relativi effetti sulla sicurezza della rete e dei sistemi informativi.

     2. Ai fini del comma 1, gli operatori di servizi essenziali sono tenuti a fornire all'autorità competente NIS:

     a) le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;

     b) la prova dell'effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall'autorità competente NIS o da un revisore abilitato e, in quest'ultimo caso, metterne a disposizione dell'autorità competente NIS i risultati, inclusi gli elementi di prova.

     3. Quando richiede le informazioni o le prove di cui al comma 2, l'autorità competente NIS indica lo scopo delle richieste specificando il tipo di informazioni da fornire.

     4. A seguito della valutazione delle informazioni o dei risultati degli audit sulla sicurezza di cui al comma 2, l'autorità competente NIS può emanare istruzioni vincolanti per gli operatori di servizi essenziali al fine di porre rimedio alle carenze individuate.

     5. Nei casi di incidenti che comportano violazioni di dati personali, l'autorità competente NIS opera in stretta cooperazione con il Garante per la protezione dei dati personali.

 

Capo V

Sicurezza della rete e dei sistemi informativi dei fornitori di servizi digitali

 

     Art. 14. Obblighi in materia di sicurezza e notifica degli incidenti

     1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell'offerta di servizi di cui all'allegato III all'interno dell'Unione europea.

     2. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

     a) la sicurezza dei sistemi e degli impianti;

     b) trattamento degli incidenti;

     c) gestione della continuità operativa;

     d) monitoraggio, audit e test;

     e) conformità con le norme internazionali.

     3. I fornitori di servizi digitali adottano misure per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all'allegato III offerti all'interno dell'Unione europea, al fine di assicurare la continuità di tali servizi.

     4. I fornitori di servizi digitali notificano al CSIRT italiano senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di un servizio di cui all'allegato III che essi offrono all'interno dell'Unione europea [18].

     5. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare la rilevanza di un eventuale impatto transfrontaliero. La notifica non espone la parte che la effettua a una maggiore responsabilità rispetto a quella derivante dall'incidente.

     6. Il CSIRT italiano inoltra tempestivamente le notifiche all'organo di cui all'articolo 12, comma 6.

     7. Al fine di determinare la rilevanza dell'impatto di un incidente, sono tenuti in considerazione, in particolare, i seguenti parametri:

     a) il numero di utenti interessati dall'incidente, in particolare gli utenti che dipendono dal servizio digitale per la fornitura dei propri servizi;

     b) la durata dell'incidente;

     c) la diffusione geografica relativamente all'area interessata dall'incidente;

     d) la portata della perturbazione del funzionamento del servizio;

     e) la portata dell'impatto sulle attività economiche e sociali.

     8. L'obbligo di notificare un incidente si applica soltanto qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l'impatto di un incidente con riferimento ai parametri di cui al comma 7.

     9. Qualora un operatore di servizi essenziali dipenda da una terza parte fornitrice di servizi digitali per la fornitura di un servizio che è indispensabile per il mantenimento di attività economiche e sociali fondamentali, l'operatore stesso notifica qualsiasi impatto rilevante per la continuità di servizi essenziali dovuto ad un incidente a carico di tale operatore.

     10. Qualora l'incidente di cui al comma 4 riguardi due o più Stati membri, il CSIRT italiano informa gli altri Stati membri coinvolti.

     11. Ai fini del comma 9, il CSIRT italiano tutela, nel rispetto del diritto dell'Unione europea e della legislazione nazionale, la sicurezza e gli interessi commerciali del fornitore del servizio digitale nonchè la riservatezza delle informazioni fornite.

     12. Previa valutazione da parte dell'organo di cui all'articolo 12, comma 6, l'autorità competente NIS, d'intesa con il CSIRT italiano, dopo aver consultato il fornitore di servizi digitali interessato e, se del caso, le autorità competenti o i CSIRT degli altri Stati membri interessati, può informare il pubblico riguardo ai singoli incidenti o chiedere al fornitore di servizi digitali di provvedervi, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestirne uno in corso, o qualora sussista comunque un interesse pubblico alla divulgazione dell'incidente.

     13. I fornitori di servizi digitali applicano le disposizioni di attuazione degli atti di esecuzione della Commissione europea che specificano ulteriormente le misure tecnico-organizzative di cui al comma 1 e i parametri, ivi compresi formati e procedure, relativi agli obblighi di notifica di cui al comma 4.

     14. Fatto salvo quanto previsto dall'articolo 1, comma 7, non sono imposti ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali.

     15. Il presente capo non si applica alle microimprese e alle piccole imprese quali definite nella raccomandazione della Commissione europea del 6 maggio 2003, n. 2003/361/CE.

 

     Art. 15. Attuazione e controllo

     1. Nel caso in cui sia dimostrato il mancato rispetto degli obblighi di cui all'articolo 14 da parte dei fornitori di servizi digitali, l'autorità competente NIS può adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni. La dimostrazione del mancato rispetto degli obblighi può essere prodotta dall'autorità competente di un altro Stato membro in cui è fornito il servizio.

     2. Ai fini del comma 1, i fornitori di servizi digitali sono tenuti a:

     a) fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;

     b) porre rimedio ad ogni mancato adempimento degli obblighi di cui all'articolo 14.

     3. Se un fornitore di servizi digitali ha lo stabilimento principale o un rappresentante in uno Stato membro, ma la sua rete o i suoi sistemi informativi sono ubicati in uno o più altri Stati membri, l'autorità competente dello Stato membro dello stabilimento principale o del rappresentante e le autorità competenti dei suddetti altri Stati membri cooperano e si assistono reciprocamente in funzione delle necessità. Tale assistenza e cooperazione può comprendere scambi di informazioni tra le autorità competenti interessate e richieste di adottare le misure di vigilanza di cui al comma 1.

 

     Art. 16. Giurisdizione e territorialità

     1. Ai fini del presente decreto, un fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale. Un fornitore di servizi digitali è comunque considerato avere il proprio stabilimento principale in uno Stato membro quando ha la sua sede sociale in tale Stato membro.

     2. Un fornitore di servizi digitali che non è stabilito nell'Unione europea, ma offre servizi di cui all'allegato III all'interno dell'Unione europea, designa un rappresentante nell'Unione europea.

     3. Il rappresentante è stabilito in uno di quegli Stati membri in cui sono offerti i servizi. Il fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui è stabilito il suo rappresentante.

     4. La designazione di un rappresentante da parte di un fornitore di servizi digitali fa salve le azioni legali che potrebbero essere avviate nei confronti del fornitore stesso di servizi digitali.

 

Capo VI

Normazione e notifica volontaria

 

     Art. 17. Normazione

     1. Ai fini dell'attuazione armonizzata dell'articolo 12, commi 1 e 2, e dell'articolo 14, commi 1, 2 e 3, le autorità competenti NIS promuovono l'adozione di norme e specifiche europee o accettate a livello internazionale relative alla sicurezza della rete e dei sistemi informativi, senza imporre o creare discriminazioni a favore dell'uso di un particolare tipo di tecnologia.

     2. Le autorità competenti NIS tengono conto dei pareri e delle linee guida predisposti dall'ENISA, in collaborazione con gli Stati membri, riguardanti i settori tecnici da prendere in considerazione in relazione al comma 1, nonchè le norme già esistenti, comprese le norme nazionali, che potrebbero essere applicate a tali settori.

 

     Art. 18. Notifica volontaria

     1. I soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali possono notificare, su base volontaria, gli incidenti aventi un impatto rilevante sulla continuità dei servizi da loro prestati.

     2. Nel trattamento delle notifiche, il CSIRT italiano applica la procedura di cui all'articolo 12.

     3. Le notifiche obbligatorie sono trattate prioritariamente rispetto alle notifiche volontarie.

     4. Le notifiche volontarie sono trattate soltanto qualora tale trattamento non costituisca un onere sproporzionato o eccessivo.

     5. La notifica volontaria non può avere l'effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica.   Capo VII Disposizioni finali

 

     Art. 19. Poteri ispettivi

     1. L'attività di ispezione e verifica necessarie per le misure previste dagli articoli 12, 13, 14 e 15, fatte salve le attribuzioni e le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica, sono svolte dall'autorità nazionale competente NIS [19].

     2. [Con successivo Accordo tra Governo, Regioni e Province autonome di Trento e di Bolzano sono definiti i criteri uniformi in ambito nazionale per lo svolgimento delle attività di ispezione e verifica, necessarie per le misure previste dagli articoli 12, 13, 14 e 15, che riguardano le reti e i sistemi informativi utilizzati dagli operatori che prestano attività di assistenza sanitaria, nonchè in merito al settore fornitura e distribuzione di acqua potabile] [20].

 

     Art. 20. Autorità competente e regime dell'accertamento e dell'irrogazione delle sanzioni amministrative

     1. L'autorità nazionale competente NIS è competente per l'accertamento delle violazioni e per l'irrogazione delle sanzioni amministrative previste dal presente decreto [21].

     2. Ai fini dell'accertamento e dell'irrogazione delle sanzioni amministrative di cui al comma 1, si osservano le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689.

 

     Art. 21. Sanzioni amministrative

     1. Salvo che il fatto costituisca reato, l'operatore di servizi essenziali che non adotta le misure tecniche e organizzative adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi, ai sensi dell'articolo 12, comma 1, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. La sanzione è ridotta di un terzo se lo stesso fatto è commesso da un fornitore di servizio digitale, in violazione degli obblighi di cui all'articolo 14, comma 1.

     2. Salvo che il fatto costituisca reato, l'operatore di servizi essenziali che non adotta le misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, ai sensi dell'articolo 12, comma 2, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro. La sanzione è ridotta di un terzo se lo stesso fatto è commesso da un fornitore di servizio digitale, in violazione degli obblighi di cui all'articolo 14, comma 3.

     3. Salvo che il fatto costituisca reato, l'operatore di servizio essenziale che non notifica al CSIRT italiano gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti, ai sensi dell'articolo 12, comma 5, è soggetto ad una sanzione amministrativa pecuniaria da 25.000 euro a 125.000 euro.

     4. Salvo che il fatto costituisca reato, l'operatore di servizio essenziale che non ottempera agli obblighi, ai sensi dell'articolo 13, comma 2, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro.

     5. Salvo che il fatto costituisca reato, l'operatore di servizio essenziale che non osserva le istruzioni, ai sensi dell'articolo 13, comma 4, è soggetto ad una sanzione amministrativa pecuniaria da 15.000 euro a 150.000 euro.

     6. Salvo che il fatto costituisca reato, il fornitore di servizio digitale che non notifica al CSIRT italiano gli incidenti aventi un impatto rilevante sulla fornitura di un servizio fornito, ai sensi dell'articolo 14, comma 4, è soggetto ad una sanzione amministrativa pecuniaria da 25.000 euro a 125.000 euro.

     7. Salvo che il fatto costituisca reato, l'operatore di servizi essenziali dipendente da terze parti che fornisce servizi digitali per la fornitura di un servizio che è indispensabile per il mantenimento di attività economiche e sociali fondamentali, che ometta la notifica, ai sensi dell'articolo 14, comma 9, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro.

     8. Salvo che il fatto costituisca reato, il fornitore di servizi digitali che non osserva gli obblighi ai sensi dell'articolo 15, comma 2, è soggetto ad una sanzione amministrativa pecuniaria da 12.000 euro a 120.000 euro.

     9. Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della legge 24 novembre del 1981, n. 689. La reiterazione determina l'aumento fino al triplo della sanzione prevista.

 

     Art. 22. Disposizioni finanziarie

     1. Agli oneri derivanti dagli articoli 7 e 8, pari a 5.300.000 euro per l'anno 2018 e 3.300.000 euro annui a decorrere dall'anno 2019, si provvede mediante corrispondente riduzione del Fondo per il recepimento della normativa europea di cui all'articolo 41-bis della legge 24 dicembre 2012, n. 234.

     2. Le spese ICT sostenute dalle pubbliche amministrazioni ai sensi degli articoli 7, 8 e 12 del presente decreto e più in generale le spese ICT sostenute per l'adeguamento dei sistemi informativi al presente decreto sono coerenti con il Piano triennale per l'informatica nella pubblica amministrazione ai sensi dei commi da 512 a 520, dell'articolo 1, della legge 28 dicembre 2015, n. 208.

     3. Dall'attuazione del presente decreto, ad esclusione degli articoli 7 e 8, non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e le amministrazioni pubbliche provvedono con le risorse umane, strumentali e finanziarie previste a legislazione vigente.

     4. Il Ministro dell'economia e delle finanze è autorizzato ad apportare le occorrenti variazioni di bilancio negli stati di previsione interessati.

 

     Allegato I

     (di cui all'art. 8)

     REQUISITI E COMPITI DEI GRUPPI DI INTERVENTO PER LA SICUREZZA INFORMATICA IN CASO DI INCIDENTE (CSIRT)

 

     I requisiti e i compiti del CSIRT sono adeguatamente e chiaramente definiti ai sensi del presente decreto e del decreto del Presidente del Consiglio dei ministri di cui all'art. 8, comma 2. Essi includono quanto segue:

     1. Requisiti per il CSIRT

     a) Il CSIRT garantisce un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano.

     b) I locali del CSIRT e i sistemi informativi di supporto sono ubicati in siti sicuri.

     c) Continuità operativa:

     i. il CSIRT è dotato di un sistema adeguato di gestione e inoltro delle richieste in modo da facilitare i passaggi;

     ii. il CSIRT dispone di personale sufficiente per garantirne l'operatività 24 ore su 24;

     iii. il CSIRT opera in base a un'infrastruttura di cui è garantita la continuità. A tal fine è necessario che siano disponibili sistemi ridondanti e spazi di lavoro di backup.

     d) Il CSIRT ha la possibilità, se lo desidera, di partecipare a reti di cooperazione internazionale;

     d-bis) il CSIRT Italia conforma i propri servizi e la propria attività alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica [22].

     2. Compiti del CSIRT

     a) I compiti del CSIRT comprendono almeno:

     i. monitoraggio degli incidenti a livello nazionale;

     ii. emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;

     iii. intervento in caso di incidente;

     iv. analisi dinamica dei rischi e degli incidenti, nonchè sensibilizzazione situazionale;

     v. partecipazione alla rete dei CSIRT;

     b) il CSIRT stabilisce relazioni di cooperazione con il settore privato;

     c) per facilitare la cooperazione, il CSIRT promuove l'adozione e l'uso di prassi comuni o standardizzate, secondo le migliori pratiche internazionalmente riconosciute, nei seguenti settori:

     i. procedure di trattamento degli incidenti e dei rischi;

     ii. sistemi di classificazione degli incidenti, dei rischi e delle informazioni [23].

 

     Allegato II

     (di cui articolo 3, comma 1, lettera g)

 

     OPERATORI DI SERVIZI ESSENZIALI

 

 

     Allegato III

     (di cui all'art. 3, comma 1, lettera h)

 

     TIPI DI SERVIZI DIGITALI

 

     1. Mercato online

     2. Motore di ricerca online

     3. Servizi di cloud computing

 


[1] Per i riferimenti al Ministero dello sviluppo economico, al DIS, alle autorità competenti NIS contenuti nel presente decreto, vedi l'art. 15, comma 2, del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[2] Lettera così modificata dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[3] Lettera così modificata dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[4] Lettera così modificata dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[5] Lettera inserita dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[6] Comma così modificato dall'art. 1 del D.L. 21 settembre 2019, n. 105, convertito dalla L. 18 novembre 2019, n. 133.

[7] Comma così sostituito dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[8] Alinea così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[9] Articolo così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[10] Articolo così sostituito dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[11] Comma già modificato dall'art. 26 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8 e così ulteriormente modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[12] Il secondo e terzo periodo sono stati soppressi dall'art. 26 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[13] Comma così modificato dall'art. 26 del D.L. 30 dicembre 2019, n. 162, convertito dalla L. 28 febbraio 2020, n. 8.

[14] Comma così sostituito dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[15] Comma così modificato dall'art. 1 del D.L. 21 settembre 2019, n. 105, convertito dalla L. 18 novembre 2019, n. 133.

[16] Comma così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[17] Comma così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[18] Comma così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[19] Comma così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[20] Comma abrogato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[21] Comma così modificato dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[22] Lettera aggiunta dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.

[23] Lettera così modificata dall'art. 15 del D.L. 14 giugno 2021, n. 82, convertito dalla L. 4 agosto 2021, n. 109.