Condividi Aggiungi ai preferiti Stampa Pdf

News - 02/10/2024

Cybersecurity - Decreto Legislativo 4 settembre 2024 n. 138

Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione

Vi informiamo che nella G.U. n. 230 del 1° ottobre 2024 è stato pubblicato il Decreto Legislativo 4 settembre 2024, n. 138: Recepimento della direttiva (UE) 2022/2555 (anche nota come NIS2), relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

Disposizioni generali

Il Decreto legislativo stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito  nazionale, contribuendo ad incrementare il livello  comune  di  sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno.

Per tali fini, prevede:

a) la Strategia nazionale di cybersicurezza,  recante  previsioni volte a garantire un livello elevato di sicurezza informatica;

b)  l'integrazione   del   quadro   di   gestione   delle   crisi informatiche,  nel  contesto  dell'organizzazione  nazionale  per  la gestione delle crisi che coinvolgono aspetti  di  cybersicurezza;

c) la  conferma  dell'Agenzia  per  la  cybersicurezza  nazionale quale:

1) Autorità nazionale competente NIS, disciplinandone i poteri inerenti all'implementazione e all'attuazione del  decreto;

2)  Punto  di  contatto  unico  NIS,  assicurando  il  raccordo nazionale e transfrontaliero;

3) Gruppo di intervento nazionale per la sicurezza  informatica in caso di incidente in ambito nazionale (CSIRT Italia);

d) la designazione dell'Agenzia per la cybersicurezza  nazionale e  del  Ministero  della  difesa, quali Autorita'  nazionali  di  gestione  delle  crisi informatiche su vasta scala, assicurando la coerenza  con  il  quadro nazionale esistente in  materia  di  gestione  generale  delle  crisi informatiche,  fermi  restando  i   compiti   del   Nucleo   per   la cybersicurezza;

e) l'individuazione di Autorita' di settore NIS  che  collaborano con l'Agenzia  per  la  cybersicurezza  nazionale;

f) l'indicazione dei criteri per l'individuazione dei soggetti  a cui si applica il decreto  e  la  definizione  dei  relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;

g)  l'adozione  di  misure  in  materia  di  cooperazione  e   di condivisione  delle  informazioni  ai  fini   dell'applicazione   del  decreto.

Ambito di applicazione

Nell’ambito di applicazione del decreto rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV del Decreto stesso.

  • Gli allegati I e II descrivono i settori ritenuti altamente critici e critici, nonché i relativi sottosettori e le tipologie di soggetti;
  • Gli allegati III e IV descrivono invece le  categorie  di  pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il decreto.

Il Decreto di recepimento della NIS2 si applica altresì, indipendentemente dalle loro dimensioni:

  1. ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo di recepimento della Direttiva 2022/2557 del Parlamento europeo e del  Consiglio,  del  14  dicembre 2022;
  2. ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  3. ai prestatori di servizi fiduciari;
  4. ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  5. ai fornitori di servizi di registrazione dei nomi di dominio.

Inoltre, il Decreto si applica anche ai soggetti  dei settori o delle tipologie di cui agli  allegati  I,  II,  III  e  IV, indipendentemente  dalle  loro  dimensioni:

  • soggetti identificati prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del D. Lgs. 65/2018;
  • soggetti che siano gli unici fornitori nazionali di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;
  • soggetti per cui una perturbazione del servizio da loro fornito potrebbe avere un  impatto  significativo  sulla  sicurezza  pubblica, l’incolumità pubblica o la salute pubblica;
  • soggetti per cui una perturbazione del servizio da loro fornito potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;
  • soggetto critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;
  • soggetto considerato critico ai sensi del decreto, quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

Entrata in vigore del Provvedimento: 16/10/2024

 

 

 

Allegati
Per informazioni
Tel. 0684499334
chiara.antonelli@un-industria.it
×

Chiara Antonelli




Roma

Telefono: 0684499334
Mail: chiara.antonelli@un-industria.it

Temi: legalità,legislativo,sanità,salute,enti locali,confindustria,


Tel. 0684499292
adelaide.iones@un-industria.it
×

Adelaide Iones




Roma

Telefono: 0684499292
Mail: adelaide.iones@un-industria.it

Temi: legalità,legislativo,Enti locali,Confindustria,


Do not follow or index