Art. 15
Modificazioni al decreto legislativo NIS
1. Al decreto legislativo NIS, sono apportate le seguenti
modificazioni:
a) all'articolo 1, comma 2, lettera a), le parole: «strategia
nazionale di sicurezza cibernetica» sono sostituite dalle seguenti:
«strategia nazionale di cybersicurezza»;
b) all'articolo 1, comma 2, lettera b), le parole: «delle
autorita' nazionali competenti» sono sostituite dalle seguenti:
«dell'autorita' nazionale competente NIS, delle autorita' di
settore»;
c) all'articolo 3, lettera a), le parole da: «autorita'
competente NIS» a: «per settore,» sono sostituite dalle seguenti:
«autorita' nazionale competente NIS, l'autorita' nazionale unica,
competente»;
d) all'articolo 3, dopo la lettera a), e' inserita la seguente:
«a-bis) autorita' di settore, le autorita' di cui all'articolo 7,
comma 1, lettere da a) a e)»;
e) all'articolo 4, il comma 6 e' sostituito dal seguente:
«6. L'elenco degli operatori di servizi essenziali identificati
ai sensi del comma 1 e' riesaminato e, se del caso, aggiornato su
base regolare, e almeno ogni due anni dopo il 9 maggio 2018, con le
seguenti modalita':
a) le autorita' di settore, in relazione ai settori di
competenza, propongono all'autorita' nazionale competente NIS le
variazioni all'elenco degli operatori dei servizi essenziali, secondo
i criteri di cui ai commi 2 e 3;
b) le proposte sono valutate dall'autorita' nazionale
competente NIS che, con propri provvedimenti, provvede alle
variazioni dell'elenco degli operatori dei servizi essenziali,
dandone comunicazione, in relazione ai settori di competenza, anche
alle autorita' di settore.»;
f) all'articolo 6, nella rubrica, le parole: «sicurezza
cibernetica» sono sostituite dalle seguenti: «cybersicurezza»; ai
commi 1, 2 e 3, le parole: «sicurezza cibernetica» sono sostituite
dalla seguente: «cybersicurezza»; al comma 4, le parole: «La
Presidenza del Consiglio dei ministri» sono sostituite dalle
seguenti: «L'Agenzia per la cybersicurezza» e le parole: «sicurezza
cibernetica» sono sostituite dalle seguenti: «cybersicurezza»;
g) l'articolo 7 e' sostituito dal seguente:
«Art. 7 (Autorita' nazionale competente e punto di contatto
unico). - 1. L'Agenzia per la cybersicurezza nazionale e' designata
quale autorita' nazionale competente NIS per i settori e sottosettori
di cui all'allegato II e per i servizi di cui all'allegato III. Sono
designate quali autorita' di settore:
a) il Ministero dello sviluppo economico, per il settore
infrastrutture digitali, sottosettori IXP, DNS, TLD, nonche' per i
servizi digitali;
b) il Ministero delle infrastrutture e della mobilita'
sostenibili, per il settore trasporti, sottosettori aereo,
ferroviario, per vie d'acqua e su strada;
c) il Ministero dell'economia e delle finanze, per il settore
bancario e per il settore infrastrutture dei mercati finanziari, in
collaborazione con le autorita' di vigilanza di settore, Banca
d'Italia e Consob, secondo modalita' di collaborazione e di scambio
di informazioni stabilite con decreto del Ministro dell'economia e
delle finanze;
d) il Ministero della salute, per l'attivita' di assistenza
sanitaria, come definita dall'articolo 3, comma 1, lettera a), del
decreto legislativo 4 marzo 2014, n. 38, prestata dagli operatori
dipendenti o incaricati dal medesimo Ministero o convenzionati con lo
stesso, e le Regioni e le Province autonome di Trento e di Bolzano,
direttamente o per il tramite delle Autorita' sanitarie
territorialmente competenti, per le attivita' di assistenza sanitaria
prestata dagli operatori autorizzati e accreditati delle Regioni o
dalle Province autonome negli ambiti territoriali di rispettiva
competenza;
e) il Ministero della transizione ecologica per il settore
energia, sottosettori energia elettrica, gas e petrolio;
f) il Ministero della transizione ecologica e le Regioni e le
Province autonome di Trento e di Bolzano, direttamente o per il
tramite delle Autorita' territorialmente competenti, in merito al
settore fornitura e distribuzione di acqua potabile.
2. L'autorita' nazionale competente NIS e' responsabile
dell'attuazione del presente decreto con riguardo ai settori di cui
all'allegato II e ai servizi di cui all'allegato III e vigila
sull'applicazione del presente decreto a livello nazionale,
esercitando altresi' le relative potesta' ispettive e sanzionatorie.
3. L'Agenzia per la cybersicurezza nazionale e' designata quale
punto di contatto unico in materia di sicurezza delle reti e dei
sistemi informativi.
4. Il punto di contatto unico svolge una funzione di
collegamento per garantire la cooperazione transfrontaliera
dell'autorita' nazionale competente NIS con le autorita' competenti
degli altri Stati membri, nonche' con il gruppo di cooperazione di
cui all'articolo 10 e la rete di CSIRT di cui all'articolo 11.
5. Il punto di contatto unico collabora nel gruppo di
cooperazione in modo effettivo, efficiente e sicuro con i
rappresentanti designati dagli altri Stati.
6. L'Agenzia per la cybersicurezza nazionale, in qualita' di
autorita' nazionale competente NIS e di punto di contatto unico,
consulta, conformemente alla normativa vigente, l'autorita' di
contrasto ed il Garante per la protezione dei dati personali e
collabora con essi.
7. La Presidenza del Consiglio dei ministri comunica
tempestivamente alla Commissione europea la designazione del punto di
contatto unico e quella dell'autorita' nazionale competente NIS, i
relativi compiti e qualsiasi ulteriore modifica. Alle designazioni
sono assicurate idonee forme di pubblicita'.
8. Agli oneri derivanti dal presente articolo pari a 1.300.000
euro a decorrere dal 2018, si provvede ai sensi dell'articolo 22.»;
h) all'articolo 8, comma 1, le parole da: «la Presidenza» a: «la
sicurezza» sono sostituite dalle seguenti: «l'Agenzia di
cybersicurezza nazionale»;
i) l'articolo 9, comma 1, e' sostituito dal seguente:
«1. Le autorita' di settore collaborano con l'autorita'
nazionale competente NIS per l'adempimento degli obblighi di cui al
presente decreto. A tal fine e' istituito presso l'Agenzia per la
cybersicurezza nazionale, un Comitato tecnico di raccordo. Il
Comitato e' presieduto dall'autorita' nazionale competente NIS ed e'
composto dai rappresentanti delle amministrazioni statali individuate
quali autorita' di settore e da rappresentanti delle Regioni e
Province autonome in numero non superiore a due, designati dalle
Regioni e Province autonome in sede di Conferenza permanente per i
rapporti tra lo Stato, le Regioni e le Province autonome di Trento e
di Bolzano. L'organizzazione del Comitato e' definita con decreto del
Presidente del Consiglio dei ministri, sentita la Conferenza
unificata. Per la partecipazione al Comitato tecnico di raccordo non
sono previsti gettoni di presenza, compensi o rimborsi spese.»;
l) all'articolo 12, comma 5, le parole da: «e, per conoscenza,»
a: «NIS,» sono soppresse;
m) all'articolo 14, comma 4, le parole da: «e, per conoscenza,»
a: «NIS,» sono soppresse;
n) all'articolo 19, comma 1, le parole: «dalle autorita'
competenti NIS» sono sostituite dalle seguenti: «dall'autorita'
nazionale competente NIS»;
o) all'articolo 19, il comma 2 e' abrogato;
p) all'articolo 20, comma 1, le parole da: «Le autorita'
competenti NIS» a: «sono competenti» sono sostituite da: «L'autorita'
nazionale competente NIS e' competente»;
q) all'allegato I:
1) al punto 1, dopo la lettera d) e' aggiunta la seguente:
«d-bis) il CSIRT Italia conforma i propri servizi e la propria
attivita' alle migliori pratiche internazionalmente riconosciute in
materia di prevenzione, gestione e risposta rispetto a eventi di
natura cibernetica»;
2) al punto 2, lettera c), dopo la parola: «standardizzate»
sono inserite le seguenti: «, secondo le migliori pratiche
internazionalmente riconosciute,».
2. Nel decreto legislativo NIS:
a) ogni riferimento al Ministero dello sviluppo economico,
ovunque ricorra, deve intendersi riferito all'Agenzia per la
cybersicurezza nazionale, fatta eccezione per le disposizioni di cui
all'articolo 7, comma 1, lettera a), del medesimo decreto
legislativo;
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi
riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorita' competenti NIS, ovunque
ricorra, deve intendersi riferito all'autorita' nazionale competente
NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma
1, del medesimo decreto legislativo;
d) all'articolo 5, comma 1, alinea, le parole: «le autorita'
competenti NIS» sono sostituite dalle seguenti: «l'autorita'
nazionale competente NIS e le autorita' di settore»;
e) agli articoli 6 e 12, le parole: «Comitato interministeriale
per la sicurezza della Repubblica (CISR)» sono sostituite dalle
seguenti: «Comitato interministeriale per la cybersicurezza (CIC)».