Art. 15 Modificazioni al decreto legislativo NIS 1. Al decreto legislativo NIS, sono apportate le seguenti modificazioni: a) all'articolo 1, comma 2, lettera a), le parole: «strategia nazionale di sicurezza cibernetica» sono sostituite dalle seguenti: «strategia nazionale di cybersicurezza»; b) all'articolo 1, comma 2, lettera b), le parole: «delle autorita' nazionali competenti» sono sostituite dalle seguenti: «dell'autorita' nazionale competente NIS, delle autorita' di settore»; c) all'articolo 3, lettera a), le parole da: «autorita' competente NIS» a: «per settore,» sono sostituite dalle seguenti: «autorita' nazionale competente NIS, l'autorita' nazionale unica, competente»; d) all'articolo 3, dopo la lettera a), e' inserita la seguente: «a-bis) autorita' di settore, le autorita' di cui all'articolo 7, comma 1, lettere da a) a e)»; e) all'articolo 4, il comma 6 e' sostituito dal seguente: «6. L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 e' riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalita': a) le autorita' di settore, in relazione ai settori di competenza, propongono all'autorita' nazionale competente NIS le variazioni all'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3; b) le proposte sono valutate ((ed eventualmente integrate, d'intesa con le autorita' di settore,)) dall'autorita' nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorita' di settore.»; f) all'articolo 6, nella rubrica, le parole: «sicurezza cibernetica» sono sostituite ((dalla seguente: «cybersicurezza»)); ai commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite dalla seguente: «cybersicurezza»; al comma 4, le parole: «La Presidenza del Consiglio dei ministri» sono sostituite dalle seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza cibernetica» sono sostituite ((dalla seguente: «cybersicurezza»)); g) l'articolo 7 e' sostituito dal seguente: «Art. 7 (Autorita' nazionale competente e punto di contatto unico). - 1. L'Agenzia per la cybersicurezza nazionale e' designata quale autorita' nazionale competente NIS per i settori e sottosettori di cui all'allegato II e per i servizi di cui all'allegato III. Sono designate quali autorita' di settore: a) il Ministero dello sviluppo economico, per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonche' per i servizi digitali; b) il Ministero delle infrastrutture e della mobilita' sostenibili, per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada; c) il Ministero dell'economia e delle finanze, per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorita' di vigilanza di settore, Banca d'Italia e Consob, secondo modalita' di collaborazione e di scambio di informazioni stabilite con decreto del Ministro dell'economia e delle finanze; d) il Ministero della salute, per l'attivita' di assistenza sanitaria, come definita dall'articolo 3, comma 1, lettera a), del decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorita' sanitarie territorialmente competenti, per le attivita' di assistenza sanitaria prestata dagli operatori autorizzati e accreditati ((dalle Regioni)) o dalle Province autonome negli ambiti territoriali di rispettiva competenza; e) il Ministero della transizione ecologica per il settore energia, sottosettori energia elettrica, gas e petrolio; f) il Ministero della transizione ecologica e le Regioni e le Province autonome di Trento e di Bolzano, direttamente o per il tramite delle Autorita' territorialmente competenti, in merito al settore fornitura e distribuzione di acqua potabile. 2. L'autorita' nazionale competente NIS e' responsabile dell'attuazione del presente decreto con riguardo ai settori di cui all'allegato II e ai servizi di cui all'allegato III e vigila sull'applicazione del presente decreto a livello nazionale, esercitando altresi' le relative potesta' ispettive e sanzionatorie. 3. L'Agenzia per la cybersicurezza nazionale e' designata quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. 4. Il punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera dell'autorita' nazionale competente NIS con le autorita' competenti degli altri Stati membri, nonche' con il gruppo di cooperazione di cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11. 5. Il punto di contatto unico collabora nel gruppo di cooperazione in modo effettivo, efficiente e sicuro con i rappresentanti designati dagli altri Stati. 6. L'Agenzia per la cybersicurezza nazionale, in qualita' di autorita' nazionale competente NIS e di punto di contatto unico, consulta, conformemente alla normativa vigente, l'autorita' di contrasto ed il Garante per la protezione dei dati personali e collabora con essi. 7. La Presidenza del Consiglio dei ministri comunica tempestivamente alla Commissione europea la designazione del punto di contatto unico e quella dell'autorita' nazionale competente NIS, i relativi compiti e qualsiasi ulteriore modifica. Alle designazioni sono assicurate idonee forme di pubblicita'. 8. Agli oneri derivanti dal presente articolo, pari a 1.300.000 euro ((annui a decorrere dall'anno)) 2018, si provvede ai sensi dell'articolo 22.»; h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la sicurezza» sono sostituite dalle seguenti: ((«l'Agenzia per la cybersicurezza)) nazionale»; i) l'articolo 9, comma 1, e' sostituito dal seguente: «1. Le autorita' di settore collaborano con l'autorita' nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine e' istituito presso l'Agenzia per la cybersicurezza ((nazionale un)) Comitato tecnico di raccordo. Il Comitato e' presieduto dall'autorita' nazionale competente NIS ed e' composto dai rappresentanti delle amministrazioni statali individuate quali autorita' di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato e' definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi o ((di spese)).»; l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse; m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,» a: «NIS,» sono soppresse; n) all'articolo 19, comma 1, le parole: «dalle autorita' competenti NIS» sono sostituite dalle seguenti: «dall'autorita' nazionale competente NIS»; o) all'articolo 19, il comma 2 e' abrogato; p) all'articolo 20, comma 1, le parole da: «Le autorita' competenti NIS» a: «sono competenti» sono sostituite da: «L'autorita' nazionale competente NIS e' competente»; q) all'allegato I: 1) al punto 1, dopo la lettera d) e' aggiunta la seguente: «d-bis) il CSIRT Italia conforma i propri servizi e la propria attivita' alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica»; 2) al punto 2, lettera c), dopo la parola: «standardizzate» sono inserite le seguenti: «, secondo le migliori pratiche internazionalmente riconosciute,». 2. Nel decreto legislativo NIS: a) ogni riferimento al Ministero dello sviluppo economico, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale, fatta eccezione per le disposizioni di cui all'articolo 7, comma 1, lettera a), del medesimo decreto legislativo, ((come sostituito dal comma 1, lettera g), del presente articolo;)) b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale; c) ogni riferimento alle autorita' competenti NIS, ovunque ricorra, deve intendersi riferito all'autorita' nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo, ((come modificato dalla lettera d) del presente comma;)) d) all'articolo 5, comma 1, alinea, le parole: «le autorita' competenti NIS» sono sostituite dalle seguenti: «l'autorita' nazionale competente NIS e le autorita' di settore»; e) agli articoli 6 e 12, le parole: «Comitato interministeriale per la sicurezza della Repubblica (CISR)» sono sostituite dalle seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».
Riferimenti normativi - Si riporta il testo dell'articolo 1, comma 2, del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 1 (Oggetto e ambito di applicazione). - (Omissis). 2. Ai fini del comma 1, il presente decreto prevede: a) l'inclusione nella ((strategia nazionale di cybersicurezza)) di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell'ambito di applicazione del presente decreto; b) la designazione ((dell'autorita' nazionale competente NIS, delle autorita' di settore)) e del punto di contatto unico, nonche' del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) in ambito nazionale per lo svolgimento dei compiti di cui all'allegato I; c) il rispetto di obblighi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali relativamente all'adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante; d) la partecipazione nazionale al gruppo di cooperazione europeo, nell'ottica della collaborazione e dello scambio di informazioni tra Stati membri dell'Unione europea, nonche' dell'incremento della fiducia tra di essi; e) la partecipazione nazionale alla rete CSIRT nell'ottica di assicurare una cooperazione tecnico-operativa rapida ed efficace.». - Si riporta il testo vigente dell'articolo 3, lettera a), del citato decreto legislativo n. 65 del 2018: «Art. 3 (Definizioni). - 1. Ai fini del presente decreto si intende per: a) ((autorita' nazionale competente NIS, l'autorita' nazionale unica, competente)) in materia di sicurezza delle reti e dei sistemi informativi, di cui all'articolo 7, comma 1; ((a-bis) autorita' di settore, le autorita' di cui all'articolo 7, comma 1, lettere da a) a)) e);». - Si riporta il testo dell'articolo 4, comma 6, del citato decreto legislativo n. 65 del 2018 come modificato dalla presente legge: «Art. 4 (Identificazione degli operatori di servizi essenziali). - 6. ((L'elenco degli operatori di servizi essenziali identificati ai sensi del comma 1 e' riesaminato e, se del caso, aggiornato su base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le seguenti modalita': a) le autorita' di settore, in relazione ai settori di competenza, propongono all'autorita' nazionale competente NIS le variazioni all'elenco degli operatori dei servizi essenziali, secondo i criteri di cui ai commi 2 e 3; b) le proposte sono valutate ed eventualmente integrate, d'intesa con le autorita' di settore, dall'autorita' nazionale competente NIS che, con propri provvedimenti, provvede alle variazioni dell'elenco degli operatori dei servizi essenziali, dandone comunicazione, in relazione ai settori di competenza, anche alle autorita' di settore.».)) - Per il testo dell'articolo 6 del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge, si rimanda nei riferimenti normativi all'articolo 1. - Si riporta il testo dell'articolo 8, comma 1, del citato decreto legislativo n. 65 del 2018 come modificato dalla presente legge: «Art. 8 (Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT). - 1. E' istituito, presso ((l'Agenzia per la cybersicurezza nazionale)), il CSIRT Italia, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1 agosto 2003, n. 259, e del CERT-PA, gia' operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82. - Si riporta il testo dell'articolo 9, comma 1, del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 9 (Cooperazione a livello nazionale). - ((1. Le autorita' di settore collaborano con l'autorita' nazionale competente NIS per l'adempimento degli obblighi di cui al presente decreto. A tal fine e' istituito presso l'Agenzia per la cybersicurezza nazionale un Comitato tecnico di raccordo. Il Comitato e' presieduto dall'autorita' nazionale competente NIS ed e' composto dai rappresentanti delle amministrazioni statali individuate quali autorita' di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati dalle Regioni e Province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'organizzazione del Comitato e' definita con decreto del Presidente del Consiglio dei ministri, sentita la Conferenza unificata. Per la partecipazione al Comitato tecnico di raccordo non sono previsti gettoni di presenza, compensi di rimborsi spese.)) (Omissis).». - Si riporta il testo dell'articolo 12, comma 5, del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 12 (Obblighi in materia di sicurezza e notifica degli incidenti). - 1.-4. (Omissis). 5. Gli operatori di servizi essenziali notificano al CSIRT Italia senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuita' dei servizi essenziali forniti.». - Si riporta il testo dell'articolo 14, comma 4, del citato decreto legislativo n. 65 del 2018: «Art. 14 (Obblighi in materia di sicurezza e notifica degli incidenti). - 1.-3. (Omissis). 4. I fornitori di servizi digitali notificano al CSIRT Italia senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di un servizio di cui all'allegato III che essi offrono all'interno dell'Unione europea.». - Si riporta il testo dell'articolo 19, commi 1 e 2, del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 19 (Poteri ispettivi). - 1. L'attivita' di ispezione e verifica necessarie per le misure previste dagli articoli 12, 13, 14 e 15, fatte salve le attribuzioni e le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica, sono svolte ((dall'autorita' nazionale competente NIS.)) 2. (Abrogato).». - Si riporta il testo dell'articolo 20, comma 1, del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 20 (Autorita' competente e regime dell'accertamento e dell'irrogazione delle sanzioni amministrative). - ((1. L'autorita' nazionale competente NIS e' competente)) per l'accertamento delle violazioni e per l'irrogazione delle sanzioni amministrative previste dal presente decreto. (Omissis).». - Si riporta il testo dell'Allegato I del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Allegato I Requisiti e compiti dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) (di cui all'art. 8) I requisiti e i compiti del CSIRT sono adeguatamente e chiaramente definiti ai sensi del presente decreto e del decreto del Presidente del Consiglio dei ministri di cui all'art. 8, comma 2. Essi includono quanto segue: 1. Requisiti per il CSIRT a) Il CSIRT garantisce un alto livello di disponibilita' dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano. b) I locali del CSIRT e i sistemi informativi di supporto sono ubicati in siti sicuri. c) Continuita' operativa: i. il CSIRT e' dotato di un sistema adeguato di gestione e inoltro delle richieste in modo da facilitare i passaggi; ii. il CSIRT dispone di personale sufficiente per garantirne l'operativita' 24 ore su 24; iii. il CSIRT opera in base a un'infrastruttura di cui e' garantita la continuita'. A tal fine e' necessario che siano disponibili sistemi ridondanti e spazi di lavoro di backup. d) Il CSIRT ha la possibilita', se lo desidera, di partecipare a reti di cooperazione internazionale; ((d-bis) il CSIRT Italia conforma i propri servizi e la propria attivita' alle migliori pratiche internazionalmente riconosciute in materia di prevenzione, gestione e risposta rispetto a eventi di natura cibernetica.)) 2. Compiti del CSIRT a) I compiti del CSIRT comprendono almeno: i. monitoraggio degli incidenti a livello nazionale; ii. emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti; iii. intervento in caso di incidente; iv. analisi dinamica dei rischi e degli incidenti, nonche' sensibilizzazione situazionale; v. partecipazione alla rete dei CSIRT; b) Il CSIRT stabilisce relazioni di cooperazione con il settore privato; c) per facilitare la cooperazione, il CSIRT promuove l'adozione e l'uso di prassi comuni o standardizzate, ((secondo le migliori pratiche internazionalmente riconosciute,)) nei seguenti settori: i. procedure di trattamento degli incidenti e dei rischi; ii. sistemi di classificazione degli incidenti, dei rischi e delle informazioni.». - Si riporta il testo dell'articolo 5, comma 1, del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 5 (Effetti negativi rilevanti). - 1. Ai fini della determinazione della rilevanza degli effetti negativi di cui all'articolo 4, comma 2, lettera c), ((l'autorita' nazionale competente NIS e le autorita' di settore)) considerano i seguenti fattori intersettoriali: a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato; b) la dipendenza di altri settori di cui all'allegato II dal servizio fornito da tale soggetto; c) l'impatto che gli incidenti potrebbero avere, in termini di entita' e di durata, sulle attivita' economiche e sociali o sulla pubblica sicurezza; d) la quota di mercato di detto soggetto; e) la diffusione geografica relativamente all'area che potrebbe essere interessata da un incidente; f) l'importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilita' di strumenti alternativi per la fornitura di tale servizio.». - Per il testo dell'articolo 6 del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge, si veda nei riferimenti normativi all'articolo 1. - Si riporta il testo dell'articolo 12 del citato decreto legislativo n. 65 del 2018, come modificato dalla presente legge: «Art. 12 (Obblighi in materia di sicurezza e notifica degli incidenti). - 1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze piu' aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente. 2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuita' di tali servizi. 3. Nell'adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all'articolo 10, nonche' delle linee guida di cui al comma 7. 4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorita' competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali. 5. Gli operatori di servizi essenziali notificano al CSIRT Italia senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuita' dei servizi essenziali forniti. 6. Il CSIRT Italia inoltra tempestivamente le notifiche all'organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il ((Comitato interministeriale per la cybersicurezza (CIC) )), delle attivita' di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento. 7. Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell'incidente. La notifica non espone la parte che la effettua a una maggiore responsabilita' rispetto a quella derivante dall'incidente. Le autorita' competenti NIS possono predisporre linee guida per la notifica degli incidenti. 8. Per determinare la rilevanza dell'impatto di un incidente si tiene conto in particolare dei seguenti parametri: a) il numero di utenti interessati dalla perturbazione del servizio essenziale; b) la durata dell'incidente; c) la diffusione geografica relativamente all'area interessata dall'incidente. 9. Sulla base delle informazioni fornite nella notifica da parte dell'operatore di servizi essenziali, il CSIRT Italia informa gli eventuali altri Stati membri interessati in cui l'incidente ha un impatto rilevante sulla continuita' dei servizi essenziali. 10. Ai fini del comma 9, il CSIRT Italia preserva, conformemente al diritto dell'Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell'operatore di servizi essenziali, nonche' la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall'articolo 1, comma 5. 11. Ove le circostanze lo consentano, il CSIRT Italia fornisce all'operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonche' le informazioni che possono facilitare un trattamento efficace dell'incidente. 12. Su richiesta dell'autorita' competente NIS o del CSIRT Italia, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati. 13. Previa valutazione da parte dell'organo di cui al comma 6, l'autorita' competente NIS, d'intesa con il CSIRT Italia, dopo aver consultato l'operatore dei servizi essenziali notificante, puo' informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso. 14. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci.».