Art. 15
Modificazioni al decreto legislativo NIS
1. Al decreto legislativo NIS, sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 2, lettera a), le parole: «strategia
nazionale di sicurezza cibernetica» sono sostituite dalle seguenti:
«strategia nazionale di cybersicurezza»;
b) all'articolo 1, comma 2, lettera b), le parole: «delle
autorita' nazionali competenti» sono sostituite dalle seguenti:
«dell'autorita' nazionale competente NIS, delle autorita' di
settore»;
c) all'articolo 3, lettera a), le parole da: «autorita'
competente NIS» a: «per settore,» sono sostituite dalle seguenti:
«autorita' nazionale competente NIS, l'autorita' nazionale unica,
competente»;
d) all'articolo 3, dopo la lettera a), e' inserita la seguente:
«a-bis) autorita' di settore, le autorita' di cui all'articolo 7,
comma 1, lettere da a) a e)»;
e) all'articolo 4, il comma 6 e' sostituito dal seguente:
«6. L'elenco degli operatori di servizi essenziali identificati
ai sensi del comma 1 e' riesaminato e, se del caso, aggiornato su
base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le
seguenti modalita':
a) le autorita' di settore, in relazione ai settori di
competenza, propongono all'autorita' nazionale competente NIS le
variazioni all'elenco degli operatori dei servizi essenziali, secondo
i criteri di cui ai commi 2 e 3;
b) le proposte sono valutate ((ed eventualmente integrate,
d'intesa con le autorita' di settore,)) dall'autorita' nazionale
competente NIS che, con propri provvedimenti, provvede alle
variazioni dell'elenco degli operatori dei servizi essenziali,
dandone comunicazione, in relazione ai settori di competenza, anche
alle autorita' di settore.»;
f) all'articolo 6, nella rubrica, le parole: «sicurezza
cibernetica» sono sostituite ((dalla seguente: «cybersicurezza»)); ai
commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite
dalla seguente: «cybersicurezza»; al comma 4, le parole: «La
Presidenza del Consiglio dei ministri» sono sostituite dalle
seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza
cibernetica» sono sostituite ((dalla seguente: «cybersicurezza»));
g) l'articolo 7 e' sostituito dal seguente:
«Art. 7 (Autorita' nazionale competente e punto di contatto
unico). - 1. L'Agenzia per la cybersicurezza nazionale e' designata
quale autorita' nazionale competente NIS per i settori e sottosettori
di cui all'allegato II e per i servizi di cui all'allegato III. Sono
designate quali autorita' di settore:
a) il Ministero dello sviluppo economico, per il settore
infrastrutture digitali, sottosettori IXP, DNS, TLD, nonche' per i
servizi digitali;
b) il Ministero delle infrastrutture e della mobilita'
sostenibili, per il settore trasporti, sottosettori aereo,
ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore
bancario e per il settore infrastrutture dei mercati finanziari, in
collaborazione con le autorita' di vigilanza di settore, Banca
d'Italia e Consob, secondo modalita' di collaborazione e di scambio
di informazioni stabilite con decreto del Ministro dell'economia e
delle finanze;
d) il Ministero della salute, per l'attivita' di assistenza
sanitaria, come definita dall'articolo 3, comma 1, lettera a), del
decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori
dipendenti o incaricati dal medesimo Ministero o convenzionati con lo
stesso, e le Regioni e le Province autonome di Trento e di Bolzano,
direttamente o per il tramite delle Autorita' sanitarie
territorialmente competenti, per le attivita' di assistenza sanitaria
prestata dagli operatori autorizzati e accreditati ((dalle Regioni))
o dalle Province autonome negli ambiti territoriali di rispettiva
competenza;
e) il Ministero della transizione ecologica per il settore
energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le
Province autonome di Trento e di Bolzano, direttamente o per il
tramite delle Autorita' territorialmente competenti, in merito al
settore fornitura e distribuzione di acqua potabile.
2. L'autorita' nazionale competente NIS e' responsabile
dell'attuazione del presente decreto con riguardo ai settori di cui
all'allegato II e ai servizi di cui all'allegato III e vigila
sull'applicazione del presente decreto a livello nazionale,
esercitando altresi' le relative potesta' ispettive e sanzionatorie.
3. L'Agenzia per la cybersicurezza nazionale e' designata quale
punto di contatto unico in materia di sicurezza delle reti e dei
sistemi informativi.
4. Il punto di contatto unico svolge una funzione di
collegamento per garantire la cooperazione transfrontaliera
dell'autorita' nazionale competente NIS con le autorita' competenti
degli altri Stati membri, nonche' con il gruppo di cooperazione di
cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di
cooperazione in modo effettivo, efficiente e sicuro con i
rappresentanti designati dagli altri Stati.
6. L'Agenzia per la cybersicurezza nazionale, in qualita' di
autorita' nazionale competente NIS e di punto di contatto unico,
consulta, conformemente alla normativa vigente, l'autorita' di
contrasto ed il Garante per la protezione dei dati personali e
collabora con essi.
7. La Presidenza del Consiglio dei ministri comunica
tempestivamente alla Commissione europea la designazione del punto di
contatto unico e quella dell'autorita' nazionale competente NIS, i
relativi compiti e qualsiasi ulteriore modifica. Alle designazioni
sono assicurate idonee forme di pubblicita'.
8. Agli oneri derivanti dal presente articolo, pari a 1.300.000
euro ((annui a decorrere dall'anno)) 2018, si provvede ai sensi
dell'articolo 22.»;
h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la
sicurezza» sono sostituite dalle seguenti: ((«l'Agenzia per la
cybersicurezza)) nazionale»;
i) l'articolo 9, comma 1, e' sostituito dal seguente:
«1. Le autorita' di settore collaborano con l'autorita'
nazionale competente NIS per l'adempimento degli obblighi di cui al
presente decreto. A tal fine e' istituito presso l'Agenzia per la
cybersicurezza ((nazionale un)) Comitato tecnico di raccordo. Il
Comitato e' presieduto dall'autorita' nazionale competente NIS ed e'
composto dai rappresentanti delle amministrazioni statali individuate
quali autorita' di settore e da rappresentanti delle Regioni e
Province autonome in numero non superiore a due, designati dalle
Regioni e Province autonome in sede di Conferenza permanente per i
rapporti tra lo Stato, le Regioni e le Province autonome di Trento e
di Bolzano. L'organizzazione del Comitato e' definita con decreto del
Presidente del Consiglio dei ministri, sentita la Conferenza
unificata. Per la partecipazione al Comitato tecnico di raccordo non
sono previsti gettoni di presenza, compensi o ((di spese)).»;
l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,»
a: «NIS,» sono soppresse;
m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,»
a: «NIS,» sono soppresse;
n) all'articolo 19, comma 1, le parole: «dalle autorita'
competenti NIS» sono sostituite dalle seguenti: «dall'autorita'
nazionale competente NIS»;
o) all'articolo 19, il comma 2 e' abrogato;
p) all'articolo 20, comma 1, le parole da: «Le autorita'
competenti NIS» a: «sono competenti» sono sostituite da: «L'autorita'
nazionale competente NIS e' competente»;
q) all'allegato I:
1) al punto 1, dopo la lettera d) e' aggiunta la seguente:
«d-bis) il CSIRT Italia conforma i propri servizi e la propria
attivita' alle migliori pratiche internazionalmente riconosciute in
materia di prevenzione, gestione e risposta rispetto a eventi di
natura cibernetica»;
2) al punto 2, lettera c), dopo la parola: «standardizzate»
sono inserite le seguenti: «, secondo le migliori pratiche
internazionalmente riconosciute,».
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico,
ovunque ricorra, deve intendersi riferito all'Agenzia per la
cybersicurezza nazionale, fatta eccezione per le disposizioni di cui
all'articolo 7, comma 1, lettera a), del medesimo decreto
legislativo, ((come sostituito dal comma 1, lettera g), del presente
articolo;))
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi
riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorita' competenti NIS, ovunque
ricorra, deve intendersi riferito all'autorita' nazionale competente
NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma
1, del medesimo decreto legislativo, ((come modificato dalla lettera
d) del presente comma;))
d) all'articolo 5, comma 1, alinea, le parole: «le autorita'
competenti NIS» sono sostituite dalle seguenti: «l'autorita'
nazionale competente NIS e le autorita' di settore»;
e) agli articoli 6 e 12, le parole: «Comitato interministeriale
per la sicurezza della Repubblica (CISR)» sono sostituite dalle
seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».
Riferimenti normativi
- Si riporta il testo dell'articolo 1, comma 2, del
citato decreto legislativo n. 65 del 2018, come modificato
dalla presente legge:
«Art. 1 (Oggetto e ambito di applicazione). -
(Omissis).
2. Ai fini del comma 1, il presente decreto prevede:
a) l'inclusione nella ((strategia nazionale di
cybersicurezza)) di previsioni in materia di sicurezza
delle reti e dei sistemi informativi rientranti nell'ambito
di applicazione del presente decreto;
b) la designazione ((dell'autorita' nazionale
competente NIS, delle autorita' di settore)) e del punto di
contatto unico, nonche' del Gruppo di intervento per la
sicurezza informatica in caso di incidente (CSIRT) in
ambito nazionale per lo svolgimento dei compiti di cui
all'allegato I;
c) il rispetto di obblighi da parte degli operatori
di servizi essenziali e dei fornitori di servizi digitali
relativamente all'adozione di misure di sicurezza e di
notifica degli incidenti con impatto rilevante;
d) la partecipazione nazionale al gruppo di
cooperazione europeo, nell'ottica della collaborazione e
dello scambio di informazioni tra Stati membri dell'Unione
europea, nonche' dell'incremento della fiducia tra di essi;
e) la partecipazione nazionale alla rete CSIRT
nell'ottica di assicurare una cooperazione
tecnico-operativa rapida ed efficace.».
- Si riporta il testo vigente dell'articolo 3, lettera
a), del citato decreto legislativo n. 65 del 2018:
«Art. 3 (Definizioni). - 1. Ai fini del presente
decreto si intende per:
a) ((autorita' nazionale competente NIS,
l'autorita' nazionale unica, competente)) in materia di
sicurezza delle reti e dei sistemi informativi, di cui
all'articolo 7, comma 1;
((a-bis) autorita' di settore, le autorita' di cui
all'articolo 7, comma 1, lettere da a) a)) e);».
- Si riporta il testo dell'articolo 4, comma 6, del
citato decreto legislativo n. 65 del 2018 come modificato
dalla presente legge:
«Art. 4 (Identificazione degli operatori di servizi
essenziali). - 6. ((L'elenco degli operatori di servizi
essenziali identificati ai sensi del comma 1 e' riesaminato
e, se del caso, aggiornato su base regolare, e almeno ogni
due anni dopo il 9 maggio 2018, con le seguenti modalita':
a) le autorita' di settore, in relazione ai settori
di competenza, propongono all'autorita' nazionale
competente NIS le variazioni all'elenco degli operatori dei
servizi essenziali, secondo i criteri di cui ai commi 2 e
3;
b) le proposte sono valutate ed eventualmente
integrate, d'intesa con le autorita' di settore,
dall'autorita' nazionale competente NIS che, con propri
provvedimenti, provvede alle variazioni dell'elenco degli
operatori dei servizi essenziali, dandone comunicazione, in
relazione ai settori di competenza, anche alle autorita' di
settore.».))
- Per il testo dell'articolo 6 del citato decreto
legislativo n. 65 del 2018, come modificato dalla presente
legge, si rimanda nei riferimenti normativi all'articolo 1.
- Si riporta il testo dell'articolo 8, comma 1, del
citato decreto legislativo n. 65 del 2018 come modificato
dalla presente legge:
«Art. 8 (Gruppi di intervento per la sicurezza
informatica in caso di incidente - CSIRT). - 1. E'
istituito, presso ((l'Agenzia per la cybersicurezza
nazionale)), il CSIRT Italia, che svolge i compiti e le
funzioni del Computer Emergency Response Team (CERT)
nazionale, di cui all'articolo 16-bis del decreto
legislativo 1 agosto 2003, n. 259, e del CERT-PA, gia'
operante presso l'Agenzia per l'Italia digitale ai sensi
dell'articolo 51 del decreto legislativo 7 marzo 2005, n.
82.
- Si riporta il testo dell'articolo 9, comma 1, del
citato decreto legislativo n. 65 del 2018, come modificato
dalla presente legge:
«Art. 9 (Cooperazione a livello nazionale). - ((1. Le
autorita' di settore collaborano con l'autorita' nazionale
competente NIS per l'adempimento degli obblighi di cui al
presente decreto. A tal fine e' istituito presso l'Agenzia
per la cybersicurezza nazionale un Comitato tecnico di
raccordo. Il Comitato e' presieduto dall'autorita'
nazionale competente NIS ed e' composto dai rappresentanti
delle amministrazioni statali individuate quali autorita'
di settore e da rappresentanti delle Regioni e Province
autonome in numero non superiore a due, designati dalle
Regioni e Province autonome in sede di Conferenza
permanente per i rapporti tra lo Stato, le Regioni e le
Province autonome di Trento e di Bolzano. L'organizzazione
del Comitato e' definita con decreto del Presidente del
Consiglio dei ministri, sentita la Conferenza unificata.
Per la partecipazione al Comitato tecnico di raccordo non
sono previsti gettoni di presenza, compensi di rimborsi
spese.))
(Omissis).».
- Si riporta il testo dell'articolo 12, comma 5, del
citato decreto legislativo n. 65 del 2018, come modificato
dalla presente legge:
«Art. 12 (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1.-4. (Omissis).
5. Gli operatori di servizi essenziali notificano al
CSIRT Italia senza ingiustificato ritardo, gli incidenti
aventi un impatto rilevante sulla continuita' dei servizi
essenziali forniti.».
- Si riporta il testo dell'articolo 14, comma 4, del
citato decreto legislativo n. 65 del 2018:
«Art. 14 (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1.-3. (Omissis).
4. I fornitori di servizi digitali notificano al CSIRT
Italia senza ingiustificato ritardo, gli incidenti aventi
un impatto rilevante sulla fornitura di un servizio di cui
all'allegato III che essi offrono all'interno dell'Unione
europea.».
- Si riporta il testo dell'articolo 19, commi 1 e 2,
del citato decreto legislativo n. 65 del 2018, come
modificato dalla presente legge:
«Art. 19 (Poteri ispettivi). - 1. L'attivita' di
ispezione e verifica necessarie per le misure previste
dagli articoli 12, 13, 14 e 15, fatte salve le attribuzioni
e le competenze degli organi preposti alla tutela
dell'ordine e della sicurezza pubblica, sono svolte
((dall'autorita' nazionale competente NIS.))
2. (Abrogato).».
- Si riporta il testo dell'articolo 20, comma 1, del
citato decreto legislativo n. 65 del 2018, come modificato
dalla presente legge:
«Art. 20 (Autorita' competente e regime
dell'accertamento e dell'irrogazione delle sanzioni
amministrative). - ((1. L'autorita' nazionale competente
NIS e' competente)) per l'accertamento delle violazioni e
per l'irrogazione delle sanzioni amministrative previste
dal presente decreto.
(Omissis).».
- Si riporta il testo dell'Allegato I del citato
decreto legislativo n. 65 del 2018, come modificato dalla
presente legge:
«Allegato I
Requisiti e compiti dei gruppi di intervento per la
sicurezza informatica in caso di incidente (CSIRT)
(di cui all'art. 8)
I requisiti e i compiti del CSIRT sono adeguatamente e
chiaramente definiti ai sensi del presente decreto e del
decreto del Presidente del Consiglio dei ministri di cui
all'art. 8, comma 2. Essi includono quanto segue:
1. Requisiti per il CSIRT
a) Il CSIRT garantisce un alto livello di
disponibilita' dei propri servizi di comunicazione,
evitando singoli punti di guasto, e dispone di vari mezzi
che permettono allo stesso di essere contattato e di
contattare altri in qualsiasi momento. Inoltre, i canali di
comunicazione sono chiaramente specificati e ben noti alla
loro base di utenti e ai partner con cui collaborano.
b) I locali del CSIRT e i sistemi informativi di
supporto sono ubicati in siti sicuri.
c) Continuita' operativa:
i. il CSIRT e' dotato di un sistema adeguato di
gestione e inoltro delle richieste in modo da facilitare i
passaggi;
ii. il CSIRT dispone di personale sufficiente per
garantirne l'operativita' 24 ore su 24;
iii. il CSIRT opera in base a un'infrastruttura
di cui e' garantita la continuita'. A tal fine e'
necessario che siano disponibili sistemi ridondanti e spazi
di lavoro di backup.
d) Il CSIRT ha la possibilita', se lo desidera, di
partecipare a reti di cooperazione internazionale;
((d-bis) il CSIRT Italia conforma i propri servizi
e la propria attivita' alle migliori pratiche
internazionalmente riconosciute in materia di prevenzione,
gestione e risposta rispetto a eventi di natura
cibernetica.))
2. Compiti del CSIRT
a) I compiti del CSIRT comprendono almeno:
i. monitoraggio degli incidenti a livello
nazionale;
ii. emissione di preallarmi, allerte, annunci e
divulgazione di informazioni alle parti interessate in
merito a rischi e incidenti;
iii. intervento in caso di incidente;
iv. analisi dinamica dei rischi e degli
incidenti, nonche' sensibilizzazione situazionale;
v. partecipazione alla rete dei CSIRT;
b) Il CSIRT stabilisce relazioni di cooperazione
con il settore privato;
c) per facilitare la cooperazione, il CSIRT
promuove l'adozione e l'uso di prassi comuni o
standardizzate, ((secondo le migliori pratiche
internazionalmente riconosciute,)) nei seguenti settori:
i. procedure di trattamento degli incidenti e dei
rischi;
ii. sistemi di classificazione degli incidenti,
dei rischi e delle informazioni.».
- Si riporta il testo dell'articolo 5, comma 1, del
citato decreto legislativo n. 65 del 2018, come modificato
dalla presente legge:
«Art. 5 (Effetti negativi rilevanti). - 1. Ai fini
della determinazione della rilevanza degli effetti negativi
di cui all'articolo 4, comma 2, lettera c), ((l'autorita'
nazionale competente NIS e le autorita' di settore))
considerano i seguenti fattori intersettoriali:
a) il numero di utenti che dipendono dal servizio
fornito dal soggetto interessato;
b) la dipendenza di altri settori di cui
all'allegato II dal servizio fornito da tale soggetto;
c) l'impatto che gli incidenti potrebbero avere, in
termini di entita' e di durata, sulle attivita' economiche
e sociali o sulla pubblica sicurezza;
d) la quota di mercato di detto soggetto;
e) la diffusione geografica relativamente all'area
che potrebbe essere interessata da un incidente;
f) l'importanza del soggetto per il mantenimento di
un livello sufficiente del servizio, tenendo conto della
disponibilita' di strumenti alternativi per la fornitura di
tale servizio.».
- Per il testo dell'articolo 6 del citato decreto
legislativo n. 65 del 2018, come modificato dalla presente
legge, si veda nei riferimenti normativi all'articolo 1.
- Si riporta il testo dell'articolo 12 del citato
decreto legislativo n. 65 del 2018, come modificato dalla
presente legge:
«Art. 12 (Obblighi in materia di sicurezza e notifica
degli incidenti). - 1. Gli operatori di servizi essenziali
adottano misure tecniche e organizzative adeguate e
proporzionate alla gestione dei rischi posti alla sicurezza
della rete e dei sistemi informativi che utilizzano nelle
loro operazioni. Tenuto conto delle conoscenze piu'
aggiornate in materia, dette misure assicurano un livello
di sicurezza della rete e dei sistemi informativi adeguato
al rischio esistente.
2. Gli operatori di servizi essenziali adottano
misure adeguate per prevenire e minimizzare l'impatto di
incidenti a carico della sicurezza della rete e dei sistemi
informativi utilizzati per la fornitura dei servizi
essenziali, al fine di assicurare la continuita' di tali
servizi.
3. Nell'adozione delle misure di cui ai commi 1 e 2,
gli operatori di servizi essenziali tengono conto delle
linee guida predisposte dal gruppo di cooperazione di cui
all'articolo 10, nonche' delle linee guida di cui al comma
7.
4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le
autorita' competenti NIS possono, se necessario, definire
specifiche misure, sentiti gli operatori di servizi
essenziali.
5. Gli operatori di servizi essenziali notificano al
CSIRT Italia senza ingiustificato ritardo, gli incidenti
aventi un impatto rilevante sulla continuita' dei servizi
essenziali forniti.
6. Il CSIRT Italia inoltra tempestivamente le
notifiche all'organo istituito presso il Dipartimento
informazioni per la sicurezza incaricato, ai sensi delle
direttive del Presidente del Consiglio dei ministri
adottate sentito il ((Comitato interministeriale per la
cybersicurezza (CIC) )), delle attivita' di prevenzione e
preparazione ad eventuali situazioni di crisi e di
attivazione delle procedure di allertamento.
7. Le notifiche includono le informazioni che
consentono al CSIRT Italia di determinare un eventuale
impatto transfrontaliero dell'incidente. La notifica non
espone la parte che la effettua a una maggiore
responsabilita' rispetto a quella derivante dall'incidente.
Le autorita' competenti NIS possono predisporre linee guida
per la notifica degli incidenti.
8. Per determinare la rilevanza dell'impatto di un
incidente si tiene conto in particolare dei seguenti
parametri:
a) il numero di utenti interessati dalla
perturbazione del servizio essenziale;
b) la durata dell'incidente;
c) la diffusione geografica relativamente all'area
interessata dall'incidente.
9. Sulla base delle informazioni fornite nella
notifica da parte dell'operatore di servizi essenziali, il
CSIRT Italia informa gli eventuali altri Stati membri
interessati in cui l'incidente ha un impatto rilevante
sulla continuita' dei servizi essenziali.
10. Ai fini del comma 9, il CSIRT Italia preserva,
conformemente al diritto dell'Unione europea e alla
legislazione nazionale, la sicurezza e gli interessi
commerciali dell'operatore di servizi essenziali, nonche'
la riservatezza delle informazioni fornite nella notifica
secondo quanto previsto dall'articolo 1, comma 5.
11. Ove le circostanze lo consentano, il CSIRT Italia
fornisce all'operatore di servizi essenziali, che effettua
la notifica, le pertinenti informazioni relative al seguito
della notifica stessa, nonche' le informazioni che possono
facilitare un trattamento efficace dell'incidente.
12. Su richiesta dell'autorita' competente NIS o del
CSIRT Italia, il punto di contatto unico trasmette, previa
verifica dei presupposti, le notifiche ai punti di contatto
unici degli altri Stati membri interessati.
13. Previa valutazione da parte dell'organo di cui al
comma 6, l'autorita' competente NIS, d'intesa con il CSIRT
Italia, dopo aver consultato l'operatore dei servizi
essenziali notificante, puo' informare il pubblico in
merito ai singoli incidenti, qualora ne sia necessaria la
sensibilizzazione per evitare un incidente o gestire un
incidente in corso.
14. Dall'attuazione del presente articolo non devono
derivare nuovi o maggiori oneri a carico della finanza
pubblica. Gli operatori di servizi essenziali provvedono
agli adempimenti previsti dal presente articolo a valere
sulle risorse finanziarie disponibili sui propri bilanci.».