DECRETO LEGISLATIVO 18 maggio 2018, n. 65

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione. (18G00092)

note: Entrata in vigore del provvedimento: 24/06/2018 (Ultimo aggiornamento all'atto pubblicato il 04/08/2021)
vigente al 12/08/2021
  • Allegati
Testo in vigore dal: 5-8-2021
attiva riferimenti normativi aggiornamenti all'articolo
 
 
                   IL PRESIDENTE DELLA REPUBBLICA 
 
  Visti gli articoli 76 e 87, quinto comma, della Costituzione; 
  Vista la legge 24 dicembre 2012, n.  234,  recante  norme  generali
sulla partecipazione dell'Italia  alla  formazione  e  all'attuazione
della normativa e delle politiche dell'Unione europea; 
  Vista la legge 25 ottobre 2017, n. 163, recante delega  al  Governo
per il recepimento delle direttive europee e  l'attuazione  di  altri
atti dell'Unione europea - Legge di delegazione europea 2016-2017; 
  Vista la direttiva (UE) 1148/2016  del  Parlamento  europeo  e  del
Consiglio, del 6 luglio 2016, recante misure per  un  livello  comune
elevato  di  sicurezza  delle  reti   e   dei   sistemi   informativi
nell'Unione; 
  Visto il regolamento (CE) 910/2014 del  Parlamento  europeo  e  del
Consiglio,  del  23  luglio  2014,  in  materia  di   identificazione
elettronica e servizi fiduciari per le transazioni  elettroniche  nel
mercato interno e che abroga la direttiva 1999/93/CE; 
  Vista  la  direttiva  2013/40/UE  del  Parlamento  europeo  e   del
Consiglio, del 12  agosto  2013,  relativa  agli  attacchi  contro  i
sistemi  di  informazione  e  che  sostituisce  la  decisione  quadro
2005/222/GAI del Consiglio; 
  Vista la  raccomandazione  2003/361/CE  della  Commissione,  del  6
maggio 2003, relativa alla definizione delle microimprese, piccole  e
medie imprese; 
  Visto il Regolamento di esecuzione della Commissione n. 2018/151/UE
del 30 gennaio 2018 recante modalita' di applicazione della direttiva
(UE) 2016/1148 del Parlamento europeo  e  del  Consiglio  per  quanto
riguarda l'ulteriore specificazione degli elementi che i fornitori di
servizi digitali devono prendere  in  considerazione  ai  fini  della
gestione dei rischi posti alla sicurezza delle  reti  e  dei  sistemi
informativi e  dei  parametri  per  determinare  l'eventuale  impatto
rilevante di un incidente; 
  Visto il decreto-legge 27 luglio  2005,  n.  144,  convertito,  con
modificazioni, dalla legge 31 luglio 2005,  n.  155,  recante  misure
urgenti per il contrasto del terrorismo internazionale; 
  Visto  il  decreto  legislativo  4  marzo  2014,  n.  39,   recante
attuazione della direttiva  2011/93/UE  relativa  alla  lotta  contro
l'abuso e lo  sfruttamento  sessuale  dei  minori  e  la  pornografia
minorile, che sostituisce la decisione quadro 2004; 
  Vista  la  legge  3  agosto  2007,  n.  124,  recante  sistema   di
informazione per la sicurezza della Repubblica e nuova disciplina del
segreto; 
  Visto il decreto-legge 30 ottobre 2015,  n.  174,  convertito,  con
modificazioni, dalla legge 11 dicembre 2015, n. 198, recante  proroga
delle missioni  internazionali  delle  Forze  armate  e  di  polizia,
iniziative di cooperazione allo sviluppo e sostegno  ai  processi  di
ricostruzione e partecipazione alle iniziative  delle  organizzazioni
internazionali per il  consolidamento  dei  processi  di  pace  e  di
stabilizzazione; 
  Visto il decreto-legge 22  giugno  2012,  n.  83,  convertito,  con
modificazioni, dalla legge 7 agosto  2012,  n.  134,  recante  misure
urgenti per la crescita del Paese, e, in particolare, l'articolo  19,
che ha istituito l'Agenzia per l'Italia digitale (AgID); 
  Visto il decreto legislativo 7 marzo 2005, n. 82, recante il codice
dell'amministrazione digitale e, in particolare, le  disposizioni  in
materia di funzioni dell'AgID e di sicurezza informatica; 
  Visto il decreto legislativo 11 aprile 2011, n. 61, attuativo della
direttiva 2008/114/CE, recante  l'individuazione  e  la  designazione
delle  infrastrutture  critiche  europee  e  la   valutazione   della
necessita' di migliorarne la protezione; 
  Visto il  regolamento  adottato  con  decreto  del  Presidente  del
Consiglio dei ministri 6 novembre 2015, n.  5,  recante  disposizioni
per  la  tutela  amministrativa  del  segreto  di   Stato   e   delle
informazioni classificate e a diffusione esclusiva; 
  Vista  la  direttiva  adottata  con  decreto  del  Presidente   del
Consiglio dei ministri del 17 febbraio 2017, recante indirizzi per la
protezione  cibernetica  e  la   sicurezza   informatica   nazionali,
pubblicato nella Gazzetta Ufficiale n. 87 del 13 aprile 2017; 
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
codice in materia di protezione dei dati personali; 
  Visto il decreto legislativo 1° agosto 2003,  n.  259,  recante  il
codice delle comunicazioni elettroniche; 
  Visto il decreto  legislativo  23  giugno  2011,  n.  118,  recante
disposizioni in materia di armonizzazione  dei  sistemi  contabili  e
degli schemi di bilancio delle Regioni, degli enti locali e dei  loro
organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n.
42; 
  Vista la preliminare  deliberazione  del  Consiglio  dei  ministri,
adottata nella riunione dell'8 febbraio 2018; 
  Acquisito il parere della Conferenza Unificata di cui  all'articolo
8 del decreto legislativo 28 agosto 1997, n. 281, reso  nella  seduta
del 19 aprile 2018; 
  Acquisiti i pareri delle competenti Commissioni  della  Camera  dei
deputati e del Senato della Repubblica; 
  Vista la deliberazione del Consiglio dei ministri,  adottata  nella
riunione del 16 maggio 2018; 
  Sulla proposta del Presidente del  Consiglio  dei  ministri  e  del
Ministro dello sviluppo economico, di concerto con i  Ministri  degli
affari esteri e della cooperazione internazionale,  della  giustizia,
dell'interno, della difesa, della  salute  e  dell'economia  e  delle
finanze; 
 
                                Emana 
 
  il seguente decreto legislativo: 
 
                               Art. 1 
 
                  Oggetto e ambito di applicazione 
 
  1. Il presente decreto stabilisce  misure  volte  a  conseguire  un
livello elevato di sicurezza della rete e dei sistemi informativi  in
ambito nazionale, contribuendo ad incrementare il livello  comune  di
sicurezza nell'Unione europea. 
  2. Ai fini del comma 1, il presente decreto prevede: 
    a) l'inclusione nella strategia nazionale  di  cybersicurezza  di
previsioni  in  materia  di  sicurezza  delle  reti  e  dei   sistemi
informativi  rientranti  nell'ambito  di  applicazione  del  presente
decreto; 
    b) la designazione dell'autorita' nazionale competente NIS, delle
autorita' di settore e del  punto  di  contatto  unico,  nonche'  del
Gruppo  di  intervento  per  la  sicurezza  informatica  in  caso  di
incidente (CSIRT) in ambito nazionale per lo svolgimento dei  compiti
di cui all'allegato I; 
    c) il rispetto di obblighi da parte degli  operatori  di  servizi
essenziali  e  dei  fornitori  di  servizi   digitali   relativamente
all'adozione di misure di sicurezza e di notifica degli incidenti con
impatto rilevante; 
    d) la partecipazione nazionale al gruppo di cooperazione europeo,
nell'ottica della collaborazione e dello scambio di informazioni  tra
Stati  membri  dell'Unione  europea,  nonche'  dell'incremento  della
fiducia tra di essi; 
    e) la partecipazione nazionale alla  rete  CSIRT  nell'ottica  di
assicurare una cooperazione tecnico-operativa rapida ed efficace. 
  3. Le disposizioni in materia di misure di sicurezza e di  notifica
degli incidenti di cui al presente  decreto  non  si  applicano  alle
imprese soggette agli obblighi di cui agli articoli 16-bis  e  16-ter
del decreto legislativo 1° agosto 2003, n. 259, ne' ai prestatori  di
servizi fiduciari soggetti agli obblighi di cui all'articolo  19  del
regolamento (UE) n. 910/2014. 
  4. Il presente decreto si applica fatto salvo quanto  previsto  dal
decreto  legislativo  11  aprile  2011,  n.  61,  e  dalla  direttiva
2013/40/UE relativa agli attacchi contro i sistemi di informazione  e
che sostituisce la decisione quadro 2005/222/GAI, del Consiglio. 
  5. Fatto salvo quanto previsto dall'articolo 346 del  trattato  sul
funzionamento dell'Unione europea, le informazioni riservate  secondo
quanto disposto dalla normativa dell'Unione europea e  nazionale,  in
particolare per quanto concerne la riservatezza  degli  affari,  sono
scambiate con la Commissione europea e con altre autorita' competenti
NIS solo nella misura in cui tale  scambio  sia  necessario  ai  fini
dell'applicazione del presente  decreto.  Le  informazioni  scambiate
sono pertinenti e commisurate allo scopo. Lo scambio di  informazioni
ne tutela la riservatezza e protegge la  sicurezza  e  gli  interessi
commerciali degli operatori di servizi essenziali e dei fornitori  di
servizi digitali. ((4)) 
  6. Il presente decreto lascia impregiudicate le misure adottate per
salvaguardare le funzioni essenziali dello Stato, in  particolare  di
tutela della sicurezza nazionale, comprese le misure volte a tutelare
le informazioni,  nei  casi  in  cui  la  divulgazione  sia  ritenuta
contraria agli interessi essenziali di sicurezza  e  di  mantenimento
dell'ordine pubblico, in particolare a fini di indagine, accertamento
e perseguimento di reati. 
  7. Qualora gli obblighi  previsti  per  gli  operatori  di  servizi
essenziali o  i  fornitori  di  servizi  digitali  di  assicurare  la
sicurezza delle loro  reti  e  dei  loro  sistemi  informativi  o  di
notificare  gli  incidenti  siano  oggetto  di  uno  specifico   atto
giuridico dell'Unione europea, si applicano le disposizioni di  detto
atto giuridico nella misura in cui gli effetti di tali obblighi siano
almeno equivalenti  a  quelli  degli  obblighi  di  cui  al  presente
decreto. 
 
--------------- 
AGGIORNAMENTO (4) 
  Il D.L. 14 giugno 2021, n. 82, convertito con  modificazioni  dalla
L. 4 agosto 2021, n. 109,  ha  disposto  (con  l'art.  15,  comma  2,
lettera c)) che "Nel decreto legislativo NIS: [...] 
  c) ogni riferimento alle autorita' competenti NIS, ovunque ricorra,
deve intendersi  riferito  all'autorita'  nazionale  competente  NIS,
fatta eccezione per le disposizioni di cui all'articolo 5,  comma  1,
del medesimo decreto legislativo, come modificato  dalla  lettera  d)
del presente comma".