Art. 43
Modifiche normative
1. Al fine di assicurarne la coerenza con l'architettura nazionale
di cybersicurezza e con i compiti dell'Agenzia per la cybersicurezza
nazionale, al decreto-legge 14 giugno 2021, n. 82, convertito, con
modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le
seguenti modificazioni:
a) all'articolo 1, comma 1:
1) la lettera d) e' sostituita dalla seguente:
«d) decreto legislativo NIS, il decreto legislativo di
recepimento della direttiva (UE) 2022/2555, del Parlamento europeo e
del Consiglio, del 14 dicembre 2022, relativa a misure per un livello
comune elevato di cibersicurezza nell'Unione, recante modifica del
regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che
abroga la direttiva (UE) 2016/1148;»;
2) alla lettera e), le parole: «di cui all'articolo 6» sono
sostituite dalle seguenti: «di cui all'articolo 9»;
b) all'articolo 7:
1) al comma 1:
1.1) la lettera d) e' sostituita dalle seguenti:
«d) e' Autorita' nazionale competente NIS e Punto di
contatto unico NIS di cui all'articolo 2, comma 1, lettere d) ed e),
del decreto legislativo NIS, a tutela dell'unita' giuridica
dell'ordinamento;
d-bis) e' Autorita' nazionale di gestione delle crisi
informatiche di cui all'articolo 2, comma 1, lettera g), del decreto
legislativo NIS;
d-ter) e' CSIRT nazionale, denominato CSIRT Italia, di cui
all'articolo 2, comma 1, lettera i), del decreto legislativo NIS;»;
1.2) alla lettera n), le parole: «CSIRT Italia di cui
all'articolo 8» sono sostituite dalle seguenti «CSIRT Italia di cui
all'articolo 2, comma 1, lettera i)»;
1.3) alla lettera n-bis), le parole: «di cui all'articolo 3,
comma 1, lettere g) e i)» sono sostituite dalle seguenti: «i soggetti
essenziali e i soggetti importanti di cui all'articolo 6 del decreto
legislativo NIS»;
2) il comma 3 e' abrogato;
c) l'articolo 15 e' abrogato.
2. Per assicurare la coerenza con gli obblighi di cui al capo IV e
con le disposizioni di cui al capo V del presente decreto,
all'articolo 1 del decreto-legge 21 settembre 2019, n. 105,
convertito, con modificazioni, dalla legge del 18 novembre 2019, n.
133, sono apportate le seguenti modificazioni:
a) il comma 3-bis e' abrogato;
b) il comma 8 e' sostituito dal seguente:
«8. La notifica d'incidente ai sensi del comma 3, lettera a),
effettuata dai soggetti inclusi nel perimetro di sicurezza nazionale
cibernetica che rientrano nell'ambito di applicazione del decreto
legislativo di recepimento della direttiva (UE) 2022/2555 assolve
agli obblighi in materia di notifica di incidente di cui all'articolo
25 del decreto legislativo medesimo.»;
c) dopo il comma 8, e' inserito il seguente:
«8-bis. Ai soggetti inclusi nel perimetro di sicurezza
nazionale cibernetica che non sono individuati come soggetti
essenziali o importanti ai sensi degli articoli 3 e 6 del decreto
legislativo di recepimento della direttiva (UE) 2022/2555, si
applicano gli obblighi di cui al capo IV e le attivita' ispettive e
sanzionatorie di cui al capo V previste per i soggetti essenziali ai
sensi del medesimo decreto legislativo, limitatamente ai sistemi
informativi e di rete diversi da quelli inseriti nell'elenco delle
reti, dei sistemi informativi e dei servizi informatici di cui
all'articolo 1, comma 2, lettera b), del presente decreto. L'Agenzia
per la cybersicurezza nazionale, sentito il tavolo interministeriale
per l'attuazione del perimetro di sicurezza nazionale cibernetica,
stabilisce con propria determina termini, modalita', specifiche e
tempi graduali di implementazione degli obblighi di cui al presente
comma.»;
d) il comma 17 e' abrogato.
Note all'art. 43:
- Per il testo dell'art. 1, del decreto legge 14 giugno
2021, n. 82, convertito, con modificazioni, dalla legge 4
agosto 2021, n. 109, come modificato dal presente decreto,
si veda nelle note all'art. 2.
- Si riporta il testo dell'art.7, del citato
decreto-legge 14 giugno 2021, n. 82, come modificato dal
presente decreto:
« Art. 7. Funzioni dell'Agenzia per la cybersicurezza
nazionale
1. L'agenzia:
(Omissis).
d) e' Autorita' nazionale competente NIS e Punto di
contatto unico NIS di cui all'articolo 2, comma 1, lettera
d) ed e), del decreto legislativo NIS, a tutela dell'unita'
giuridica dell'ordinamento;
d-bis) e' Autorita' nazionale di gestione delle crisi
informatiche di cui all'articolo 2, comma 1, lettera g) del
decreto legislativo NIS;
d-ter) e' CSIRT nazionale, denominato CSIRT Italia, di
cui all'articolo 2, comma1, lettera i), del decreto
legislativo NIS»;
(Omissis).
n) sviluppa capacita' nazionali di prevenzione,
monitoraggio, rilevamento, analisi e risposta, per
prevenire e gestire gli incidenti di sicurezza informatica
e gli attacchi informatici, anche attraverso il CSIRT
Italia, di cui all'articolo 2, comma1, lettera i) del
decreto legislativo NIS. A tale fine, promuove iniziative
di partenariato pubblico-privato per rendere effettive tali
capacita';
n-bis) nell'ambito delle funzioni di cui al primo
periodo della lettera n), svolge ogni attivita' diretta
all'analisi e al supporto per il contenimento e il
ripristino dell'operativita' dei sistemi compromessi, con
la collaborazione dei soggetti pubblici o privati che hanno
subito incidenti di sicurezza informatica o attacchi
informatici. La mancata collaborazione di cui al primo
periodo e' valutata ai fini dell'applicazione delle
sanzioni previste dall'articolo 1, commi 10 e 14, del
decreto-legge perimetro, per i soggetti di cui all'articolo
1, comma 2-bis, del medesimo decreto-legge perimetro, i
soggetti essenziali e i soggetti importanti di cui all'art.
6 del decreto legislativo NIS e di cui all'articolo 40,
comma 3, alinea, del codice delle comunicazioni
elettroniche, di cui al decreto legislativo 1° agosto 2003,
n. 259; restano esclusi gli organi dello Stato preposti
alla prevenzione, all'accertamento e alla repressione dei
reati, alla tutela dell'ordine e della sicurezza pubblica e
alla difesa e sicurezza militare dello Stato, nonche' gli
organismi di informazione per la sicurezza di cui
agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124;
(Omissis).
1-bis. Anche ai fini dell'esercizio delle funzioni di
cui al comma 1, lettere r), s), t), u), v), z) e aa),
presso l'Agenzia e' istituito, con funzioni di consulenza e
di proposta, un Comitato tecnico-scientifico, presieduto
dal direttore generale della medesima Agenzia, o da un
dirigente da lui delegato, e composto da personale della
stessa Agenzia e da qualificati rappresentanti
dell'industria, degli enti di ricerca, dell'accademia e
delle associazioni del settore della sicurezza, designati
con decreto del Presidente del Consiglio dei ministri. La
composizione e l'organizzazione del Comitato
tecnico-scientifico sono disciplinate secondo le modalita'
e i criteri definiti dal regolamento di cui all'articolo 6,
comma 1.Per la partecipazione al Comitato
tecnico-scientifico non sono previsti gettoni di presenza,
compensi o rimborsi di spese.
2. Nell'ambito dell'Agenzia sono nominati, con decreto
del Presidente del Consiglio dei ministri, il
rappresentante nazionale, e il suo sostituto, nel Consiglio
di direzione del Centro europeo di competenza per la
cybersicurezza nell'ambito industriale, tecnologico e della
ricerca, ai sensi dell'articolo 12 del regolamento (UE)
2021/887.
3. (Abrogato).
4. Il Centro di valutazione e certificazione nazionale,
istituito presso il Ministero dello sviluppo economico, e'
trasferito presso l'Agenzia.
5. Nel rispetto delle competenze del Garante per la
protezione dei dati personali, l'Agenzia, per le finalita'
di cui al presente decreto, consulta il Garante e collabora
con esso, anche in relazione agli incidenti che comportano
violazioni di dati personali. L'Agenzia e il Garante
possono stipulare appositi protocolli d'intenti che
definiscono altresi' le modalita' della loro collaborazione
nell'ambito delle risorse disponibili a legislazione
vigente e senza nuovi o maggiori oneri per la finanza
pubblica.»
- L'articolo 15, del citato decreto-legge 14 giugno
2021, n. 82, come abrogato dal presente decreto, recava:
«Art. 15. (Modificazioni al decreto legislativo NIS)».
- Si riporta il testo dell'art. 1 del citato
decreto-legge 21 settembre 2019, n. 105 convertito, con
modificazioni, dalla legge 18 novembre 2019, n. 133, come
modificato dal presente decreto:
«Art. 1 (Perimetro di sicurezza nazionale
cibernetica). - 1. - 3. (Omissis).
3-bis. (abrogato).
4. - 7. (Omissis).
8. La notifica d'incidente ai sensi del comma 3,
lettera a), effettuata dai soggetti inclusi nel perimetro
di sicurezza nazionale cibernetica che rientrano
nell'ambito di applicazione del decreto legislativo di
recepimento della direttiva (UE) 2022/2555 assolve agli
obblighi in materia di notifica di incidente di cui
all'articolo 25 del decreto legislativo medesimo.;
8-bis. Ai soggetti inclusi nel perimetro di sicurezza
nazionale cibernetica che non sono individuati come
soggetti essenziali o importanti ai sensi degli articoli 3
e 6 del decreto legislativo di recepimento della direttiva
(UE) 2022/2555, si applicano gli obblighi di cui al capo IV
e le attivita' ispettive e sanzionatorie di cui al capo V
previste per i soggetti essenziali ai sensi del medesimo
decreto legislativo, limitatamente ai sistemi informativi e
di rete diversi da quelli inseriti nell'elenco delle reti,
dei sistemi informativi e dei servizi informatici di cui
all'articolo 1, comma 2, lettera b), del presente decreto.
L'Agenzia per la cybersicurezza nazionale, sentito il
tavolo interministeriale per l'attuazione del perimetro di
sicurezza nazionale cibernetica, stabilisce con propria
determina termini, modalita', specifiche e tempi graduali
di implementazione degli obblighi di cui al presente comma.
9. - 16. (Omissis).
17 (abrogato).
18. - 19-ter. (Omissis).».