Art. 3
Ambito di applicazione
1. Nell'ambito di applicazione del presente decreto rientrano i
soggetti pubblici e privati delle tipologie di cui agli allegati I,
II, III e IV, che costituiscono parte integrante del presente
decreto, che sono sottoposti alla giurisdizione nazionale ai sensi
dell'articolo 5. Gli allegati I e II descrivono i settori ritenuti,
rispettivamente, altamente critici e critici, nonche' i relativi
sottosettori e le tipologie di soggetti. Gli allegati III e IV
descrivono, rispettivamente, le categorie di pubbliche
amministrazioni e le ulteriori tipologie di soggetto a cui si applica
il presente decreto.
2. Il presente decreto si applica ai soggetti delle tipologie di
cui all'allegato I e II, che superano i massimali per le piccole
imprese ai sensi dell'articolo 2, paragrafo 2, dell'allegato alla
raccomandazione 2003/361/CE.
3. L'articolo 3, paragrafo 4, dell'allegato alla raccomandazione
2003/361/CE della Commissione, del 6 maggio 2003, non si applica ai
fini del presente decreto.
4. Per determinare se un soggetto e' da considerarsi una media o
grande impresa ai sensi dell'articolo 2 dell'allegato della
raccomandazione 2003/361/CE, si applica l'articolo 6, paragrafo 2,
del medesimo allegato, salvo che cio' non sia proporzionato, tenuto
anche conto dell'indipendenza del soggetto dalle sue imprese
collegate in termini di sistemi informativi e di rete che utilizza
nella fornitura dei suoi servizi e in termini di servizi che
fornisce.
5. Il presente decreto si applica, indipendentemente dalle loro
dimensioni, anche:
a) ai soggetti che sono identificati come soggetti critici ai
sensi del decreto legislativo, che recepisce la direttiva (UE)
2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre
2022;
b) ai fornitori di reti pubbliche di comunicazione elettronica o
di servizi di comunicazione elettronica accessibili al pubblico;
c) ai prestatori di servizi fiduciari;
d) ai gestori di registri dei nomi di dominio di primo livello e
fornitori di servizi di sistema dei nomi di dominio;
e) ai fornitori di servizi di registrazione dei nomi di dominio.
6. Il presente decreto si applica, altresi', anche
indipendentemente dalle loro dimensioni, alle pubbliche
amministrazioni di cui all'articolo 1, comma 3, della legge 31
dicembre 2009, n. 196, ricomprese nelle categorie elencate
nell'allegato III.
7. Sulla base di un criterio di gradualita', dell'evoluzione del
grado di esposizione al rischio della pubblica amministrazione, della
probabilita' che si verifichino incidenti e della loro gravita',
compreso il loro impatto sociale ed economico, tenuto conto anche dei
criteri di cui al comma 9, con uno o piu' decreti del Presidente del
Consiglio dei ministri adottati secondo le modalita' di cui
all'articolo 40, comma 2, possono essere individuate ulteriori
categorie di pubbliche amministrazioni a cui si applica il presente
decreto al fine di adeguare l'elenco di categorie di cui all'allegato
III.
8. Il presente decreto si applica, altresi', indipendentemente
dalle loro dimensioni, anche ai soggetti delle tipologie di cui
all'allegato IV, individuati secondo le procedure di cui al comma 13.
9. Il presente decreto si applica, altresi', anche ai soggetti dei
settori o delle tipologie di cui agli allegati I, II, III e IV,
indipendentemente dalle loro dimensioni, individuati secondo le
procedure di cui al comma 13, qualora:
a) il soggetto sia identificato prima della data di entrata in
vigore del presente decreto come operatore di servizi essenziali ai
sensi del decreto legislativo 18 maggio 2018, n. 65;
b) il soggetto sia l'unico fornitore nazionale di un servizio che
e' essenziale per il mantenimento di attivita' sociali o economiche
fondamentali;
c) una perturbazione del servizio fornito dal soggetto potrebbe
avere un impatto significativo sulla sicurezza pubblica,
l'incolumita' pubblica o la salute pubblica;
d) una perturbazione del servizio fornito dal soggetto potrebbe
comportare un rischio sistemico significativo, in particolare per i
settori nei quali tale perturbazione potrebbe avere un impatto
transfrontaliero;
e) il soggetto sia critico in ragione della sua particolare
importanza a livello nazionale o regionale per quel particolare
settore o tipo di servizio o per altri settori indipendenti nel
territorio dello Stato;
f) il soggetto sia considerato critico ai sensi del presente
decreto quale elemento sistemico della catena di approvvigionamento,
anche digitale, di uno o piu' soggetti considerati essenziali o
importanti.
10. Il presente decreto si applica, infine, indipendentemente dalle
sue dimensioni, all'impresa collegata ad un soggetto essenziale o
importante, se soddisfa almeno uno dei seguenti criteri:
a) adotta decisioni o esercita una influenza dominante sulle
decisioni relative alle misure di gestione del rischio per la
sicurezza informatica di un soggetto importante o essenziale;
b) detiene o gestisce sistemi informativi e di rete da cui
dipende la fornitura dei servizi del soggetto importante o
essenziale;
c) effettua operazioni di sicurezza informatica del soggetto
importante o essenziale;
d) fornisce servizi TIC o di sicurezza, anche gestiti, al
soggetto importante o essenziale.
11. Resta ferma la disciplina in materia di protezione dei dati
personali di cui al regolamento (UE) 2016/679 del Parlamento europeo
e del Consiglio, del 27 aprile 2016, e al decreto legislativo 30
giugno 2003, n. 196, nonche' in materia di lotta contro l'abuso e lo
sfruttamento sessuale dei minori e la pornografia minorile di cui al
decreto legislativo 4 marzo 2014, n. 39.
12. L'Autorita' nazionale competente NIS applica la clausola di
salvaguardia di cui al comma 4, secondo i criteri per la
determinazione individuati con le modalita' di cui all'articolo 40,
comma 1.
13. I soggetti di cui ai commi 8 e 9 sono individuati
dall'Autorita' nazionale competente NIS, su proposta delle Autorita'
di settore, secondo le modalita' di cui all'articolo 40, comma 4.
L'Autorita' nazionale competente NIS notifica a tali soggetti la loro
individuazione ai fini della registrazione di cui all'articolo 7,
comma 1.
14. Le disposizioni di cui all'articolo 17 e ai Capi IV e V del
presente decreto non si applicano ai soggetti identificati come
essenziali o importanti dei settori 3 e 4 di cui all'allegato I, ai
quali si applica la disciplina di cui al regolamento (UE) 2022/2554.
15. Il presente decreto non si applica, ai sensi dell'articolo 2,
comma 10, della direttiva, ai soggetti esentati dall'ambito di
applicazione del regolamento (UE) 2022/2554.
Note all'art. 3:
- La raccomandazione della Commissione del 6 maggio
2003, n. 361 e' pubblicata nella GUUE del 20 maggio 2003 n.
124, serie L.
- Si riporta il testo dell'articolo 1 della legge 31
dicembre 2009, n. 196 (Legge di contabilita' e finanza
pubblica) pubblicata nella GU del 31 dicembre 2009, n. 303,
S.O.:
«Art. 1 (Principi di coordinamento e ambito di
riferimento). - 1. Le amministrazioni pubbliche concorrono
al perseguimento degli obiettivi di finanza pubblica
definiti in ambito nazionale in coerenza con le procedure e
i criteri stabiliti dall'Unione europea e ne condividono le
conseguenti responsabilita'. Il concorso al perseguimento
di tali obiettivi si realizza secondo i principi
fondamentali dell'armonizzazione dei bilanci pubblici e del
coordinamento della finanza pubblica.
2. Ai fini della applicazione delle disposizioni in
materia di finanza pubblica, per amministrazioni pubbliche
si intendono, per l'anno 2011, gli enti e i soggetti
indicati a fini statistici nell'elenco oggetto del
comunicato dell'Istituto nazionale di statistica (ISTAT) in
data 24 luglio 2010, pubblicato in pari data nella Gazzetta
Ufficiale della Repubblica italiana n. 171, nonche' a
decorrere dall'anno 2012 gli enti e i soggetti indicati a
fini statistici dal predetto Istituto nell'elenco oggetto
del comunicato del medesimo Istituto in data 30 settembre
2011, pubblicato in pari data nella Gazzetta Ufficiale
della Repubblica italiana n. 228, e successivi
aggiornamenti ai sensi del comma 3 del presente articolo,
effettuati sulla base delle definizioni di cui agli
specifici regolamenti dell'Unione europea, le Autorita'
indipendenti e, comunque, le amministrazioni di cui
all'articolo 1, comma 2, del decreto legislativo 30 marzo
2001, n. 165, e successive modificazioni.
3. La ricognizione delle amministrazioni pubbliche di
cui al comma 2 e' operata annualmente dall'ISTAT con
proprio provvedimento e pubblicata nella Gazzetta Ufficiale
entro il 30 settembre.
4. Le disposizioni recate dalla presente legge e dai
relativi decreti legislativi costituiscono principi
fondamentali del coordinamento della finanza pubblica ai
sensi dell'articolo 117 della Costituzione e sono
finalizzate alla tutela dell'unita' economica della
Repubblica italiana, ai sensi dell'articolo 120, secondo
comma, della Costituzione.
5. Le disposizioni della presente legge si applicano
alle regioni a statuto speciale e alle province autonome di
Trento e di Bolzano nel rispetto di quanto previsto dai
relativi statuti».
- Si riporta, ai fini della definizione di operatore di
servizi essenziali, il testo degli articoli 3 e 4 del
decreto legislativo 18 maggio 2018, n. 65 (Attuazione della
direttiva (UE) 2016/1148 del Parlamento europeo e del
Consiglio, del 6 luglio 2016, recante misure per un livello
comune elevato di sicurezza delle reti e dei sistemi
informativi nell'Unione) pubblicato nella GU del 9 giugno
2018, n. 132, S.O.:
«Art. 3 (Definizioni). - 1. Ai fini del presente
decreto si intende per:
a) autorita' nazionale competente NIS, l'autorita'
nazionale unica, competente in materia di sicurezza delle
reti e dei sistemi informativi, di cui all'articolo 7,
comma 1;
a-bis) autorita' di settore, le autorita' di cui
all'articolo 7, comma 1, lettere da a) a e);
b) CSIRT, gruppo di intervento per la sicurezza
informatica in caso di incidente, di cui all'articolo 8;
c) punto di contatto unico, l'organo incaricato a
livello nazionale di coordinare le questioni relative alla
sicurezza delle reti e dei sistemi informativi e la
cooperazione transfrontaliera a livello di Unione europea;
d) autorita' di contrasto, l'organo centrale del
Ministero dell'interno per la sicurezza e per la
regolarita' dei servizi di telecomunicazione, di cui
all'articolo 7-bis del decreto-legge 27 luglio 2005, n.
144, convertito, con modificazioni, dalla legge 31 luglio
2005, n. 155;
e) rete e sistema informativo:
1) una rete di comunicazione elettronica ai sensi
dell'articolo 1, comma 1, lettera dd), del decreto
legislativo 1° agosto 2003, n. 259;
2) qualsiasi dispositivo o gruppo di dispositivi
interconnessi o collegati, uno o piu' dei quali eseguono,
in base ad un programma, un trattamento automatico di dati
digitali;
3) i dati digitali conservati, trattati, estratti
o trasmessi per mezzo di reti o dispositivi di cui ai
numeri 1) e 2), per il loro funzionamento, uso, protezione
e manutenzione;
f) sicurezza della rete e dei sistemi informativi,
la capacita' di una rete e dei sistemi informativi di
resistere, a un determinato livello di riservatezza, a ogni
azione che comprometta la disponibilita', l'autenticita',
l'integrita' o la riservatezza dei dati conservati o
trasmessi o trattati e dei relativi servizi offerti o
accessibili tramite tale rete o sistemi informativi;
g) operatore di servizi essenziali, soggetto
pubblico o privato, della tipologia di cui all'allegato II,
che soddisfa i criteri di cui all'articolo 4, comma 2;
h) servizio digitale, servizio ai sensi
dell'articolo 1, paragrafo 1, lettera b), della direttiva
(UE) 2015/1535 del Parlamento europeo e del Consiglio, del
9 settembre 2015, di un tipo elencato nell'allegato III;
i) fornitore di servizio digitale, qualsiasi
persona giuridica che fornisce un servizio digitale;
l) incidente, ogni evento con un reale effetto
pregiudizievole per la sicurezza della rete e dei sistemi
informativi;
m) trattamento dell'incidente, tutte le procedure
necessarie per l'identificazione, l'analisi e il
contenimento di un incidente e l'intervento in caso di
incidente;
n) rischio, ogni circostanza o evento
ragionevolmente individuabile con potenziali effetti
pregiudizievoli per la sicurezza della rete e dei sistemi
informativi;
o) rappresentante, la persona fisica o giuridica
stabilita nell'Unione europea espressamente designata ad
agire per conto di un fornitore di servizi digitali che non
e' stabilito nell'Unione europea, a cui l'autorita'
competente NIS o il CSIRT Nazionale puo' rivolgersi in
luogo del fornitore di servizi digitali, per quanto
riguarda gli obblighi di quest'ultimo ai sensi del presente
decreto;
p) norma, una norma ai sensi dell'articolo 2, primo
paragrafo, numero 1), del regolamento (UE) n. 1025/2012;
q) specifica, una specifica tecnica ai sensi
dell'articolo 2, primo paragrafo, numero 4), del
regolamento (UE) n. 1025/2012;
r) punto di interscambio internet (IXP), una
infrastruttura di rete che consente l'interconnessione di
piu' di due sistemi autonomi indipendenti, principalmente
al fine di agevolare lo scambio del traffico internet; un
IXP fornisce interconnessione soltanto ai sistemi autonomi;
un IXP non richiede che il traffico internet che passa tra
qualsiasi coppia di sistemi autonomi partecipanti passi
attraverso un terzo sistema autonomo, ne' altera o
interferisce altrimenti con tale traffico;
s) sistema dei nomi di dominio (DNS), e' un sistema
distribuito e gerarchico di naming in una rete che inoltra
le richieste dei nomi di dominio;
t) fornitore di servizi DNS, un soggetto che
fornisce servizi DNS su internet;
u) registro dei nomi di dominio di primo livello,
un soggetto che amministra e opera la registrazione di nomi
di dominio internet nell'ambito di uno specifico dominio di
primo livello (TLD);
v) mercato online, un servizio digitale che
consente ai consumatori ovvero ai professionisti, come
definiti rispettivamente all'articolo 141, comma 1, lettere
a) e b), del decreto legislativo 6 settembre 2005, n. 206,
di concludere contratti di vendita o di servizi online con
i professionisti sia sul sito web del mercato online sia
sul sito web di un professionista che utilizza i servizi
informatici forniti dal mercato on line;
z) motore di ricerca on line, un servizio digitale
che consente all'utente di effettuare ricerche, in linea di
principio, su tutti i siti web o su siti web in una lingua
particolare sulla base di un'interrogazione su qualsiasi
tema sotto forma di parola chiave, frase o di altra
immissione, e fornisce i link in cui possono essere trovate
le informazioni relative al contenuto richiesto;
aa) servizio di cloud computing, un servizio
digitale che consente l'accesso a un insieme scalabile ed
elastico di risorse informatiche condivisibili.»
«Art. 4 (Identificazione degli operatori di servizi
essenziali). - 1. Entro il 9 novembre 2018, con propri
provvedimenti, le autorita' competenti NIS identificano per
ciascun settore e sottosettore di cui all'allegato II, gli
operatori di servizi essenziali con una sede nel territorio
nazionale. Gli operatori che prestano attivita' di
assistenza sanitaria sono individuati con decreto del
Ministro della salute, di intesa con la Conferenza
permanente per i rapporti tra lo Stato, le Regioni e le
Province autonome di Trento e di Bolzano. Gli operatori che
forniscono e distribuiscono acque destinate al consumo
umano sono individuati con decreto del Ministro
dell'ambiente e della tutela del territorio e del mare, di
intesa con la Conferenza permanente per i rapporti tra lo
Stato, le Regioni e le Province autonome di Trento e di
Bolzano.
2. I criteri per l'identificazione degli operatori di
servizi essenziali sono i seguenti:
a) un soggetto fornisce un servizio che e'
essenziale per il mantenimento di attivita' sociali e/o
economiche fondamentali;
b) la fornitura di tale servizio dipende dalla rete
e dai sistemi informativi;
c) un incidente avrebbe effetti negativi rilevanti
sulla fornitura di tale servizio.
3. Oltre ai criteri indicati nel comma 2,
nell'individuazione degli operatori di servizi essenziali
si tiene conto dei documenti prodotti al riguardo dal
Gruppo di cooperazione di cui all'articolo 10.
4. Ai fini del comma 1, prima dell'adozione dei
provvedimenti previsti dalla medesima disposizione, qualora
un soggetto fornisca un servizio di cui al comma 2, lettera
a), sul territorio nazionale e in altro o altri Stati
membri dell'Unione europea, le autorita' competenti NIS
consultano le autorita' competenti degli altri Stati
membri.
5. E' istituito presso il Ministero dello sviluppo
economico un elenco nazionale degli operatori di servizi
essenziali. Il Ministero dello sviluppo economico inoltra
tale elenco al punto di contatto unico e all'organo del
Ministero dell'interno per la sicurezza e la regolarita'
dei servizi di telecomunicazione, di cui all'articolo 7-bis
del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155.
6. L'elenco degli operatori di servizi essenziali
identificati ai sensi del comma 1 e' riesaminato e, se del
caso, aggiornato su base regolare, e almeno ogni due anni
dopo il 9 maggio 2018, con le seguenti modalita':
a) le autorita' di settore, in relazione ai settori
di competenza, propongono all'autorita' nazionale
competente NIS le variazioni all'elenco degli operatori dei
servizi essenziali, secondo i criteri di cui ai commi 2 e
3;
b) le proposte sono valutate ed eventualmente
integrate, d'intesa con le autorita' di settore,
dall'autorita' nazionale competente NIS che, con propri
provvedimenti, provvede alle variazioni dell'elenco degli
operatori dei servizi essenziali, dandone comunicazione, in
relazione ai settori di competenza, anche alle autorita' di
settore.
7. Entro il 9 novembre 2018, e in seguito ogni due
anni, il punto di contatto unico trasmette alla Commissione
europea le informazioni necessarie per la valutazione
dell'attuazione del presente decreto, in particolare della
coerenza dell'approccio in merito all'identificazione degli
operatori di servizi essenziali.
8. Le informazioni di cui al comma 7 comprendono
almeno:
a) le misure nazionali che consentono
l'identificazione degli operatori di servizi essenziali;
b) l'elenco dei servizi di cui al comma 2;
c) il numero degli operatori di servizi essenziali
identificati per ciascun settore di cui all'allegato II ed
un'indicazione della loro importanza in relazione a tale
settore;
d) le soglie, ove esistano, per determinare il
pertinente livello di fornitura con riferimento al numero
di utenti che dipendono da tale servizio di cui
all'articolo 5, comma 1, lettera a), o all'importanza di
tale particolare operatore di servizi essenziali di cui
all'articolo 5, comma 1, lettera f).».