Art. 14
Cooperazione tra Autorita' nazionali
1. Sono assicurate la cooperazione e la collaborazione reciproca
dell'Autorita' nazionale competente NIS e del Punto di contatto unico
NIS con l'organo centrale del Ministero dell'interno per la sicurezza
e per la regolarita' dei servizi di telecomunicazione, di cui
all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144,
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155
(Autorita' di contrasto), con il Garante per la protezione dei dati
personali quale autorita' di controllo di cui all'articolo 55 o 56
del regolamento (UE) 2016/679, con l'Ente nazionale per l'aviazione
civile (ENAC) quale autorita' nazionale ai sensi dei regolamenti (CE)
n. 300/2008 del Parlamento europeo e del Consiglio, dell'11 marzo
2008, e (UE) 2018/1139, del Parlamento europeo e del Consiglio, del 4
luglio 2018, con l'Agenzia per l'Italia digitale (AgID) quale
organismo di vigilanza ai sensi del regolamento (UE) n. 910/2014, con
l'Autorita' per le garanzie nelle comunicazioni quale autorita'
nazionale di regolamentazione ai sensi della direttiva (UE)
2018/1972, con il Ministero della difesa, quale responsabile in
materia di difesa dello Stato, nonche' con altre autorita' nazionali
competenti anche ai sensi di altri atti giuridici settoriali
dell'Unione europea, ivi incluso lo scambio periodico di informazioni
pertinenti, anche per quanto riguarda gli incidenti e le minacce
informatiche rilevanti.
2. Ai fini della cooperazione e della collaborazione di cui al
comma 1:
a) l'Autorita' nazionale competente NIS coopera con il Garante
per la protezione dei dati personali, ai sensi dell'articolo 7, comma
5, del decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, nei casi di
incidenti che comportano violazioni di dati personali, ai sensi del
regolamento (UE) 2016/679, senza pregiudicare la competenza e i
compiti di controllo di cui al citato regolamento;
b) qualora l'Autorita' nazionale competente NIS, in sede di
vigilanza o di esecuzione, venga a conoscenza del fatto che la
violazione degli obblighi di cui all'articolo 24 da parte di un
soggetto essenziale o importante possa comportare una violazione dei
dati personali, quale definita all'articolo 4, punto 12), del
regolamento (UE) 2016/679, che deve essere notificata ai sensi
dell'articolo 33 del medesimo regolamento, ne informa senza indebito
ritardo il Garante per la protezione dei dati personali ai sensi
dell'articolo 55 o 56 di tale regolamento;
c) qualora il Garante per la protezione dei dati personali o le
autorita' di controllo di altri Stati membri di cui all'articolo 55 o
56 del regolamento (UE) 2016/679 impongano una sanzione
amministrativa pecuniaria ai sensi dell'articolo 58, paragrafo 2,
lettera i), del medesimo regolamento, l'Autorita' nazionale
competente NIS non procede all'irrogazione delle sanzioni
amministrative pecuniarie ai sensi dell'articolo 38 per una
violazione di cui alla lettera b) del presente comma, imputabile al
medesimo comportamento. L'Autorita' nazionale competente NIS puo'
tuttavia esercitare i poteri di esecuzione di cui all'articolo 37;
d) con decreto del Presidente del Consiglio dei ministri, su
proposta del Ministro della difesa, sentita l'Agenzia per la
cybersicurezza nazionale, e' definito, nell'ambito dell'elenco di cui
all'articolo 7, comma 2, l'elenco dei soggetti che impattano sulla
efficienza dello Strumento militare e sulla tutela della difesa e
sicurezza militare dello Stato, su cui l'Autorita' nazionale
competente NIS comunica tempestivamente al Ministero della difesa gli
incidenti di cui all'articolo 25, nonche', con le modalita' previste
nel decreto di cui alla presente lettera, le ulteriori informazioni
di sicurezza cibernetica.
3. La cooperazione e la collaborazione reciproca dell'Autorita'
nazionale competente NIS con le autorita' nazionali competenti di cui
al regolamento (UE) 2022/2554 e' assicurata con gli strumenti di cui
al medesimo regolamento (UE) 2022/2554 e alla disciplina nazionale di
attuazione, in relazione, tra l'altro, allo scambio periodico di
informazioni pertinenti, anche per quanto riguarda gli incidenti e le
minacce informatiche rilevanti.
4. L'Autorita' nazionale competente NIS coopera con le pertinenti
autorita' nazionali competenti degli altri Stati membri, di cui al
regolamento (UE) 2022/2554. In particolare, l'Autorita' nazionale
competente NIS informa il forum di sorveglianza istituito ai sensi
dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando
esercita i propri poteri di vigilanza ed esecuzione finalizzati a
garantire il rispetto degli obblighi previsti dal presente decreto da
parte di un soggetto essenziale o importante designato come fornitore
terzo critico di servizi di TIC ai sensi dell'articolo 31 del
regolamento (UE) 2022/2554.
5. E' assicurata la cooperazione e la collaborazione reciproca
dell'Autorita' nazionale competente NIS e del Punto di contatto unico
NIS, secondo le modalita' di cui all'articolo 40, comma 3, con le
autorita' nazionali competenti e il punto di contatto unico ai sensi
della direttiva (UE) 2022/2557, anche attraverso lo scambio periodico
di informazioni riguardo all'identificazione di soggetti critici, sui
rischi, sulle minacce e sugli incidenti sia informatici che non
informatici che interessano i soggetti identificati come critici ai
sensi della direttiva (UE) 2022/2557, e sulle misure adottate in
risposta a tali rischi, minacce e incidenti.
6. Ai fini della cooperazione e della collaborazione di cui al
comma 5:
a) il punto di contatto unico e le autorita' competenti di cui al
decreto legislativo di recepimento della direttiva (UE) 2022/2557
comunicano tempestivamente all'Autorita' nazionale competente NIS i
soggetti identificati come soggetti critici ai sensi del medesimo
decreto legislativo e i successivi aggiornamenti;
b) le autorita' nazionali competenti ai sensi del decreto
legislativo di recepimento della direttiva (UE) 2022/2557 possono
chiedere all'Autorita' nazionale competente NIS di svolgere le
attivita' ed esercitare i poteri di cui al capo V in relazione a un
soggetto che e' stato individuato come soggetto critico ai sensi del
citato decreto legislativo.
Note all'art. 14:
- Si riporta il testo dell'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144 (Misure urgenti per il
contrasto del terrorismo internazionale) pubblicato nella
Gazzetta ufficiale del 27 luglio 2005, n. 173, convertito,
con modificazioni, dalla legge 31 luglio 2005, n. 155,
pubblicato nella Gazzetta ufficiale del 1° agosto 2005, n.
177.
«Art. 7-bis (Sicurezza telematica). - 1. Ferme
restando le competenze dei Servizi informativi e di
sicurezza, di cui agli articoli 4 e 6 della legge 24
ottobre 1977, n. 801, l'organo del Ministero dell'interno
per la sicurezza e per la regolarita' dei servizi di
telecomunicazione assicura i servizi di protezione
informatica delle infrastrutture critiche informatizzate di
interesse nazionale individuate con decreto del Ministro
dell'interno, operando mediante collegamenti telematici
definiti con apposite convenzioni con i responsabili delle
strutture interessate.
2. Per le finalita' di cui al comma 1 e per la
prevenzione e repressione delle attivita' terroristiche o
di agevolazione del terrorismo condotte con i mezzi
informatici, gli ufficiali di polizia giudiziaria
appartenenti all'organo di cui al comma 1 possono svolgere
le attivita' di cui all'articolo 4, commi 1 e 2, del
decreto-legge 18 ottobre 2001, n. 374, convertito, con
modificazioni, dalla legge 15 dicembre 2001, n. 438, e
quelle di cui all'articolo 226 delle norme di attuazione,
di coordinamento e transitorie del codice di procedura
penale, di cui al decreto legislativo 28 luglio 1989, n.
271, anche a richiesta o in collaborazione con gli organi
di polizia giudiziaria ivi indicati.».
- Il regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio del 27 aprile 2016 relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati) e' pubblicato nella GUUE del 4
maggio 2016, n. 119, serie L.
- Il regolamento (CE) n. 300/2008 del Parlamento
europeo e del Consiglio, dell'11 marzo 2008 che istituisce
norme comuni per la sicurezza dell'aviazione civile e che
abroga il regolamento (CE) n. 2320/2002 e' pubblicato nella
GUUE del 9 aprile 2008, n. 97, serie L.
- Il regolamento (UE) 2018/1139, del Parlamento europeo
e del Consiglio, del 4 luglio 2018 recante norme comuni nel
settore dell'aviazione civile, che istituisce un'Agenzia
dell'Unione europea per la sicurezza aerea e che modifica i
regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n.
996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e
2014/53/UE del Parlamento europeo e del Consiglio, e abroga
i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del
Parlamento europeo e del Consiglio e il regolamento (CEE)
n. 3922/91 del Consiglio e' pubblicato nella GUUE del 22
agosto 2018 n. 212 serie L.
- Il regolamento (UE) n. 910/2014 del Parlamento
europeo e del Consiglio, del 23 luglio 2014 in materia di
identificazione elettronica e servizi fiduciari per le
transazioni elettroniche nel mercato interno e che abroga
la direttiva 1999/93/CE e' pubblicato nella GUUE del 28
agosto 2014, n. 257, serie L.
- Per la direttiva (UE) 2018/1972 del Parlamento
europeo e del Consiglio, dell'11 dicembre 2018, che
istituisce il codice europeo delle comunicazioni
elettroniche (rifusione) si veda nelle note alle premesse.
- Per i riferimenti all'art. 7, comma 5, del citato
decreto-legge 14 giugno 2021, n. 82 si veda nelle note
all'art. 9.
- Per il regolamento (UE) 2022/2554 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, relativo
alla resilienza operativa digitale per il settore
finanziario e che modifica i regolamenti (CE) n. 1060/2009,
(UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE)
2016/1011 si veda nelle note alle premesse.
- Per la direttiva (UE) 2022/2557 del Parlamento
europeo e del Consiglio, del 14 dicembre 2022, relativa
alla resilienza dei soggetti critici e che abroga la
direttiva 2008/114/CE del Consiglio si veda nelle note alle
premesse.