Uscito oggi 9 giugno in Gazzetta Ufficiale il tanto atteso decreto di attuazione della direttiva Nis.
DECRETO LEGISLATIVO 18 maggio 2018, n. 65
Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. (18G00092) (GU Serie Generale n.132 del 09-06-2018)
IL PRESIDENTE DELLA REPUBBLICA Visti gli articoli 76 e 87, quinto comma, della Costituzione; Vista la legge 24 dicembre 2012, n. 234, recante norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea; Vista la legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2016-2017; Vista la direttiva (UE) 1148/2016 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione; Visto il regolamento (CE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE; Vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio; Vista la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese; Visto il Regolamento di esecuzione della Commissione n. 2018/151/UE del 30 gennaio 2018 recante modalita' di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio per quanto riguarda l'ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l'eventuale impatto rilevante di un incidente; Visto il decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, recante misure urgenti per il contrasto del terrorismo internazionale; Visto il decreto legislativo 4 marzo 2014, n. 39, recante attuazione della direttiva 2011/93/UE relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, che sostituisce la decisione quadro 2004; Vista la legge 3 agosto 2007, n. 124, recante sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto; Visto il decreto-legge 30 ottobre 2015, n. 174, convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198, recante proroga delle missioni internazionali delle Forze armate e di polizia, iniziative di cooperazione allo sviluppo e sostegno ai processi di ricostruzione e partecipazione alle iniziative delle organizzazioni internazionali per il consolidamento dei processi di pace e di stabilizzazione; Visto il decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, recante misure urgenti per la crescita del Paese, e, in particolare, l'articolo 19, che ha istituito l'Agenzia per l'Italia digitale (AgID); Visto il decreto legislativo 7 marzo 2005, n. 82, recante il codice dell'amministrazione digitale e, in particolare, le disposizioni in materia di funzioni dell'AgID e di sicurezza informatica; Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della direttiva 2008/114/CE, recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione; Visto il regolamento adottato con decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, recante disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva; Vista la direttiva adottata con decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali, pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il codice in materia di protezione dei dati personali; Visto il decreto legislativo 1° agosto 2003, n. 259, recante il codice delle comunicazioni elettroniche; Visto il decreto legislativo 23 giugno 2011, n. 118, recante disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42; Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione dell'8 febbraio 2018; Acquisito il parere della Conferenza Unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta del 19 aprile 2018; Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica; Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 16 maggio 2018; Sulla proposta del Presidente del Consiglio dei ministri e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, della giustizia, dell'interno, della difesa, della salute e dell'economia e delle finanze; Emana il seguente decreto legislativo: Art. 1 Oggetto e ambito di applicazione 1. Il presente decreto stabilisce misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea. 2. Ai fini del comma 1, il presente decreto prevede: a) l'inclusione nella strategia nazionale di sicurezza cibernetica di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell'ambito di applicazione del presente decreto; b) la designazione delle autorita' nazionali competenti e del punto di contatto unico, nonche' del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) in ambito nazionale per lo svolgimento dei compiti di cui all'allegato I; c) il rispetto di obblighi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali relativamente all'adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante; d) la partecipazione nazionale al gruppo di cooperazione europeo, nell'ottica della collaborazione e dello scambio di informazioni tra Stati membri dell'Unione europea, nonche' dell'incremento della fiducia tra di essi; e) la partecipazione nazionale alla rete CSIRT nell'ottica di assicurare una cooperazione tecnico-operativa rapida ed efficace. 3. Le disposizioni in materia di misure di sicurezza e di notifica degli incidenti di cui al presente decreto non si applicano alle imprese soggette agli obblighi di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, ne' ai prestatori di servizi fiduciari soggetti agli obblighi di cui all'articolo 19 del regolamento (UE) n. 910/2014. 4. Il presente decreto si applica fatto salvo quanto previsto dal decreto legislativo 11 aprile 2011, n. 61, e dalla direttiva 2013/40/UE relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI, del Consiglio. 5. Fatto salvo quanto previsto dall'articolo 346 del trattato sul funzionamento dell'Unione europea, le informazioni riservate secondo quanto disposto dalla normativa dell'Unione europea e nazionale, in particolare per quanto concerne la riservatezza degli affari, sono scambiate con la Commissione europea e con altre autorita' competenti NIS solo nella misura in cui tale scambio sia necessario ai fini dell'applicazione del presente decreto. Le informazioni scambiate sono pertinenti e commisurate allo scopo. Lo scambio di informazioni ne tutela la riservatezza e protegge la sicurezza e gli interessi commerciali degli operatori di servizi essenziali e dei fornitori di servizi digitali. 6. Il presente decreto lascia impregiudicate le misure adottate per salvaguardare le funzioni essenziali dello Stato, in particolare di tutela della sicurezza nazionale, comprese le misure volte a tutelare le informazioni, nei casi in cui la divulgazione sia ritenuta contraria agli interessi essenziali di sicurezza e di mantenimento dell'ordine pubblico, in particolare a fini di indagine, accertamento e perseguimento di reati. 7. Qualora gli obblighi previsti per gli operatori di servizi essenziali o i fornitori di servizi digitali di assicurare la sicurezza delle loro reti e dei loro sistemi informativi o di notificare gli incidenti siano oggetto di uno specifico atto giuridico dell'Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto.
N O T E Avvertenza: - Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia ai sensi dell'art. 10, comma 3 del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. - Per gli atti dell'Unione europea vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea (G.U.U.E.). Note alle premesse: - L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non puo' essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti. - L'art. 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge ed i regolamenti. - La legge 24 dicembre 2012, n. 234, recante: «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea», e' pubblicata nella Gazzetta Ufficiale 4 gennaio 2013, n. 3. - La legge 25 ottobre 2017, n. 163, recante: «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - legge di delegazione europea 2016-2017», e' pubblicata nella Gazzetta Ufficiale 6 novembre 2017, n. 259. - La direttiva (UE) 1148/2016 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, e' pubblicata nella G.U.U.E. 19 luglio 2016, n. L 194. - Il regolamento (CE) 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, e' pubblicato nella G.U.C.E. 28 agosto 2014, n. L 257. - La direttiva (UE) 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio, e' pubblicata nella G.U.U.E. 14 agosto 2013, n. L 218. - La raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese, e' pubblicata nella G.U.C.E. 20 maggio 2003, n. L 124. - Il regolamento di esecuzione (UE) 2018/151 della Commissione, del 30 gennaio 2018, recante modalita' di applicazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, per quanto riguarda l'ulteriore specificazione degli elementi che i fornitori di servizi digitali devono prendere in considerazione ai fini della gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e dei parametri per determinare l'eventuale impatto rilevante di un incidente, e' pubblicato nella G.U.U.E. 31 gennaio 2018, n. L 26. - Il decreto-legge 27 luglio 2005, n. 144, recante: «Misure urgenti per il contrasto del terrorismo internazionale», pubblicato nella Gazzetta Ufficiale 27 luglio 2005, n. 173, e' convertito, con modificazioni, dalla legge. 31 luglio 2005, n. 155, pubblicata nella Gazzetta Ufficiale 1° agosto 2005, n. 177. - Il decreto legislativo 4 marzo 2014, n. 39, recante: «Attuazione della direttiva 2011/93/UE relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, che sostituisce la decisione quadro 2004/68/GAI», e' pubblicato nella Gazzetta Ufficiale 22 marzo 2014, n. 68. - La legge 3 agosto 2007, n. 124, recante:«Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto», e' pubblicata nella Gazzetta Ufficiale 13 agosto 2007, n. 187. - Il decreto-legge 30 ottobre 2015, n. 174, recante: «Proroga delle missioni internazionali delle Forze armate e di polizia, iniziative di cooperazione allo sviluppo e sostegno ai processi di ricostruzione e partecipazione alle iniziative delle organizzazioni internazionali per il consolidamento dei processi di pace e di stabilizzazione», pubblicato nella Gazzetta Ufficiale 30 ottobre 2015, n. 253, e' convertito, con modificazioni, dalla legge 11 dicembre 2015, n. 198, pubblicata nella Gazzetta Ufficiale 16 dicembre 2015, n. 292. - Il decreto-legge 22 giugno 2012, n. 83, recante: «Misure urgenti per la crescita del Paese», pubblicato nella Gazzetta Ufficiale 26 giugno 2012, n. 147, S.O., e' convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134, pubblicata nella Gazzetta Ufficiale 11 agosto 2012, n. 187, S.O. - Il decreto legislativo 7 marzo 2005, n. 82, recante: «Codice dell'amministrazione digitale», e' pubblicato nella Gazzetta Ufficiale 16 maggio 2005, n. 112, S.O. - Il decreto legislativo 11 aprile 2011, n. 61, recante: «Attuazione della Direttiva 2008/114/CE recante l'individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessita' di migliorarne la protezione», e' pubblicato nella Gazzetta Ufficiale 4 maggio 2011, n. 102. - Il decreto del Presidente del Consiglio dei ministri 6 novembre 2015, recante: «Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva», e' pubblicato nella Gazzetta Ufficiale 5 dicembre 2015, n. 284, S.O. - Il decreto del Presidente del Consiglio dei ministri 17 febbraio 2017: (Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali), e' pubblicato nella Gazzetta Ufficiale 13 aprile 2017, n. 87. - Il decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali», e' pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O. - Il decreto legislativo 1° agosto 2003, n. 259, recante: «Codice delle comunicazioni elettroniche», e' pubblicato nella Gazzetta Ufficiale 15 settembre 2003, n. 214, S.O. - Il decreto legislativo 23 giugno 2011, n. 118, recante: «Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42», e' pubblicato nella Gazzetta Ufficiale 26 luglio 2011, n. 172. Note all'art. 1: - Si riporta il testo degli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, recante: «Codice delle comunicazioni elettroniche»: «Art. 16-bis (Sicurezza e integrita'). - 1. Fatte salve le competenze dell'Autorita' previste dall'art. 1, comma 6, lettera a), numero 3), della legge 31 luglio 1997, n. 249, il Ministero, sentite le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico e tenuto conto delle misure tecniche di attuazione eventualmente adottate dalla Commissione europea, ai sensi dell'art. 13-bis, comma 4, della direttiva 2002/21/CE, individua: a) adeguate misure di natura tecnica e organizzativa per assicurare la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico, nonche' per garantire l'integrita' delle reti. Tali misure sono anche finalizzate a prevenire e limitare le conseguenze per gli utenti e le reti interconnesse degli incidenti che pregiudicano la sicurezza; b) i casi in cui le violazioni della sicurezza o perdita dell'integrita' siano da considerarsi significative ai fini del corretto funzionamento delle reti o dei servizi. 2. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico: a) adottano le misure individuate dal Ministero di cui al comma 1, lettera a), al fine di conseguire un livello di sicurezza delle reti adeguato al rischio esistente, e di garantire la continuita' della fornitura dei servizi su tali reti; b) comunicano al Ministero ogni significativa violazione della sicurezza o perdita dell'integrita' secondo quanto previsto al comma 1, lettera b). 3. Nei casi di cui al comma 2, lettera b), il Ministero informa le altre autorita' nazionali eventualmente interessate per le relative iniziative di competenza, e, se del caso, informa le autorita' degli altri Stati membri nonche' l'ENISA. 4. Il Ministero, anche su impulso dell'Autorita', puo' informare il pubblico o imporre all'impresa di farlo, ove accerti che la divulgazione della violazione di cui al comma 2, lettera b), sia nell'interesse pubblico. Anche a tal fine, presso il Ministero e' individuato il Computer Emergency Response Team (CERT) nazionale, avvalendosi delle risorse umane, strumentali e finanziarie e disponibili, con compiti di assistenza tecnica in caso di segnalazioni da parte di utenti e di diffusione di informazioni anche riguardanti le contromisure adeguate per i tipi piu' comuni di incidente. 5. Il Ministero trasmette ogni anno alla Commissione europea e all'ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente articolo.». «Art. 16-ter (Attuazione e controllo). - 1.Le misure adottate ai fini dell'attuazione del presente articolo e dell'art. 16-bissono approvate con decreto del Ministro dello sviluppo economico. 2.Ai fini del controllo del rispetto dell'art. 16-bisle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono tenute a: a) fornire al Ministero, e se necessario all'Autorita', le informazioni necessarie per valutare la sicurezza e l'integrita' dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonche'; b) sottostare a una verifica della sicurezza effettuata dal Ministero, anche su impulso dell'Autorita', in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico, o da un organismo qualificato indipendente designato dal Ministero. L'impresa si assume l'onere finanziario della verifica. 3.Il Ministero e l'Autorita' hanno la facolta' di indagare i casi di mancata conformita' nonche' i loro effetti sulla sicurezza e l'integrita' delle reti. 4.Nel caso in cui il Ministero riscontri, anche su indicazione dell'Autorita', il mancato rispetto degliarticoli 16-biso16-terovvero delle disposizioni attuative previste dal comma 1 da parte delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, si applicano le sanzioni di cui all'art. 98, commi da 4 a 12.». - Per i riferimenti normativi del decreto legislativo 11 aprile 2011, n. 61, si veda nelle note alle premesse. - Per i riferimenti normativi della direttiva 2013/40/UE, si veda nelle note alle premesse. - La decisione quadro 2005/222/GAI del Consiglio, del 24 febbraio 2005, relativa agli attacchi contro i sistemi di informazione, e' pubblicata nella G.U.U.E. 16 marzo 2005, n. L 69. - Si riporta il testo dell'art. 346 del Trattato sul funzionamento dell'Unione europea (versione consolidata), pubblicato nella G.U.U.E. 26 ottobre 2012, n. C 326: «Art. 346 (ex art. 296 del TCE). - 1. Le disposizioni dei trattati non ostano alle norme seguenti: a) nessuno Stato membro e' tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza; b) ogni Stato membro puo' adottare le misure che ritenga necessarie alla tutela degli interessi essenziali della propria sicurezza e che si riferiscano alla produzione o al commercio di armi, munizioni e materiale bellico; tali misure non devono alterare le condizioni di concorrenza nel mercato interno per quanto riguarda i prodotti che non siano destinati a fini specificamente militari. 2. Il Consiglio, deliberando all'unanimita' su proposta della Commissione, puo' apportare modificazioni all'elenco, stabilito il 15 aprile 1958, dei prodotti cui si applicano le disposizioni del paragrafo 1, lettera b).».