                               Art. 22 
 
                  Comunicazioni all'Unione europea 
 
  1. Successivamente alla data di  entrata  in  vigore  del  presente
decreto,  la  Presidenza  del   Consiglio   dei   ministri   notifica
tempestivamente alla Commissione europea la conferma dell'Agenzia per
la cybersicurezza nazionale quale Autorita' nazionale competente  NIS
e  quale  Punto  di  contatto  unico  NIS,  nonche'  la  designazione
dell'Agenzia  per  la  cybersicurezza  nazionale,  con  funzioni   di
coordinatore ai sensi dell'articolo 9, paragrafo 2,  della  direttiva
(UE)  2022/2555,  e  del  Ministero  della  difesa,  quali  Autorita'
nazionali di gestione delle crisi informatiche, e i  relativi  ambiti
di competenza come indicati all'articolo  2,  comma  1,  lettera  g).
Successivamente,  ogni  ulteriore  modifica  a  tali  designazioni  o
compiti e' notificata, senza ingiustificato ritardo, alla Commissione
europea.  Alle  designazioni  sono   assicurate   idonee   forme   di
pubblicita'. 
  2. L'Autorita' nazionale competente NIS: 
    a) trasmette alla Commissione europea la Strategia  nazionale  di
cybersicurezza di  cui  all'articolo  9  entro  tre  mesi  dalla  sua
adozione o  dal  suo  aggiornamento.  Possono  essere  esclusi  dalla
trasmissione gli elementi della strategia  riguardanti  la  sicurezza
nazionale e quelli ulteriori rispetto alle  previsioni  del  presente
decreto; 
    b) comunica entro il 17 gennaio 2025 alla Commissione europea  le
misure sanzionatorie e le disposizioni che stabiliscono sanzioni  nei
confronti dei soggetti essenziali e dei soggetti importanti di cui al
presente  decreto.  Successivamente,  e'  comunicata  ogni  ulteriore
modifica a tali misure e disposizioni; 
    c) comunica entro il 17 aprile 2025 e, successivamente, ogni  due
anni: 
      1) alla Commissione europea e al Gruppo di cooperazione NIS, il
numero dei soggetti essenziali  e  dei  soggetti  importanti  inclusi
nell'elenco di cui all'articolo 7, comma 2,  per  ciascun  settore  e
sottosettore di cui agli allegati I, II e III; 
      2) alla Commissione europea informazioni pertinenti sul  numero
di soggetti essenziali e di soggetti importanti individuati ai  sensi
dell'articolo 3, comma 9, lettere  da  b)  a  e),  sui  settori  e  i
sottosettori di cui agli allegati I, II e III ai quali  appartengono,
sul tipo di servizio che forniscono e sui criteri di cui all'articolo
3, comma 9, lettere da b) a e), per i quali sono stati individuati; 
    d) su richiesta della  Commissione  europea,  puo'  notificare  a
quest'ultima, in tutto o in  parte,  le  denominazioni  dei  soggetti
essenziali e dei soggetti importanti di cui alla lettera  c),  numero
2); 
    e) comunica all'ENISA, senza ingiustificato  ritardo  e  comunque
entro quattordici giorni dalla loro ricezione, le informazioni di cui
all'articolo 7, comma 1, lettere a), b) e d), comma 4, lettera b),  e
comma 5, lettere a) e b), fornite dai soggetti di cui a  quest'ultimo
comma, per l'inserimento nel registro di cui  all'articolo  27  della
direttiva (UE) 2022/2555. L'Autorita' nazionale competente  NIS  puo'
richiedere all'ENISA l'accesso a tale registro, assicurando la tutela
della riservatezza delle informazioni ivi contenute. 
  3. Il Punto di contatto unico NIS: 
    a) successivamente alla data di entrata in  vigore  del  presente
decreto, comunica  alla  Commissione  europea,  senza  ingiustificato
ritardo, la designazione dell'Agenzia per la cybersicurezza nazionale
quale CSIRT nazionale, denominato CSIRT Italia, e quale  coordinatore
conformemente all'articolo 16, i rispettivi compiti in  relazione  ai
soggetti essenziali e ai soggetti importanti  e  qualsiasi  ulteriore
modifica dei medesimi; 
    b) trasmette all'ENISA, ogni trimestre a partire dal  1°  gennaio
2026, una relazione di sintesi  che  comprende  dati  anonimizzati  e
aggregati  sugli  incidenti  significativi,  sugli  incidenti,  sulle
minacce informatiche e sui quasi-incidenti notificati ai sensi  degli
articoli 25 e 26; 
    c) trasmette, successivamente alla data di entrata in vigore  del
presente decreto,  senza  ingiustificato  ritardo,  le  notifiche  di
incidente con effetti transfrontalieri di cui agli articoli 25  e  26
ai punti di contatto unici degli altri  Stati  membri  interessati  e
all'ENISA. 
  4. L'Autorita'  nazionale  di  gestione  delle  crisi  informatiche
comunica entro tre mesi dall'adozione o dall'aggiornamento del  piano
nazionale di risposta agli incidenti e  alle  crisi  informatiche  su
vasta scala di cui all'articolo 13, comma 3, alla Commissione europea
e alla Rete europea delle organizzazioni di collegamento per le crisi
informatiche (EU-CyCLONe)  le  informazioni  pertinenti  relative  ai
requisiti di cui all'articolo 13, comma 4, in merito al proprio piano
nazionale di risposta agli incidenti e  alle  crisi  informatiche  su
vasta scala, fatto salvo quanto previsto dall'articolo 4, commi 1,  7
e 8.

          Note all'art. 22: 
              - Per  i  riferimenti  alla  direttiva  (UE)  2022/2555
          misure per un  livello  comune  elevato  di  cibersicurezza
          nell'Unione,  recante  modifica  del  regolamento  (UE)  n.
          910/2014 e della direttiva (UE) 2018/1972 e che  abroga  la
          direttiva (UE) 2016/1148 (direttiva NIS 2)  si  veda  nelle
          note alle premesse.