Logo Governo Presidenza del Consiglio dei Ministri
Logo Normattiva

Normattiva - Il portale della legge vigente
Ricerca avanzata

stai visualizzando l'atto

vigente al
originario
multivigente

DECRETO LEGISLATIVO 10 marzo 2025, n. 23

Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, e per il recepimento della direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario. (25G00032)

note: Entrata in vigore del provvedimento: 12/03/2025
(GU n.58 del 11-03-2025) visualizza atto intero
nascondi
  • Articoli
  • Capo I
    Disposizioni generali
  • 1
  • 2
  • Capo II
    Autorità competenti e cooperazione
  • 3
  • 4
  • 5
  • Capo III
    Disposizioni applicabili agli intermediari finanziari e a Bancoposta
  • 6
  • 7
  • Capo IV
    Poteri di vigilanza, poteri regolamentari e sanzioni
  • 8
  • 9
  • 10
  • Capo V
    Ulteriori modificazioni e integrazioni della normativa di settore e
    disposizioni di coordinamento
  • 11
  • 12
  • 13
  • 14
  • 15
  • Capo VI
    Disposizioni finali
  • 16
  • 17
articolo successivo
Testo in vigore dal:  12-3-2025

IL PRESIDENTE DELLA REPUBBLICA

Visti gli articoli 76 e 87 della Costituzione;
Vista la legge 23 agosto 1988, n. 400, recante «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri» e, in particolare, l'articolo 14;
Vista la legge 24 dicembre 2012, n. 234, recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» e, in particolare, gli articoli 31 e 32;
Vista la legge 21 febbraio 2024, n. 15, recante «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023» e, in particolare, l'articolo 16;
Visto il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011;
Vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);
Vista la direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario;
Vista la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio;
Vista la comunicazione della Commissione del 13 settembre 2023, recante «Orientamenti della Commissione sull'applicazione dell'articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 (direttiva NIS 2)»;
Visto il decreto legislativo 1° settembre 1993, n. 385, recante «Testo unico delle leggi in materia bancaria e creditizia»;
Visto il decreto legislativo 24 febbraio 1998, n. 58, recante «Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli 8 e 21 della legge 6 febbraio 1996, n. 52»;
Visto il decreto-legge 30 settembre 2003, n. 269, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326, recante «Disposizioni urgenti per favorire lo sviluppo e per la correzione dell'andamento dei conti pubblici» e, in particolare, l'articolo 5, comma 6, relativo alla disciplina applicabile alla Cassa depositi e prestiti S.p.A.;
Visto il decreto legislativo 7 settembre 2005, n. 209, recante «Codice delle assicurazioni private»;
Visto il decreto legislativo 5 dicembre 2005, n. 252, recante «Disciplina delle forme pensionistiche complementari»;
Vista la legge 28 dicembre 2005, n. 262, recante «Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari»;
Visto il decreto legislativo 16 novembre 2015, n. 180, recante «Attuazione della direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE), n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio»;
Visto il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica»;
Visto il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale»;
Vista la legge 28 giugno 2024, n. 90, recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» e, in particolare, l'articolo 15 che ha modificato l'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15;
Visto il decreto legislativo 5 settembre 2024, n. 129, recante «Adeguamento della normativa nazionale al regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937»;
Visto il decreto legislativo 4 settembre 2024, n. 138, recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148»;
Acquisito il parere dell'Agenzia per la cybersicurezza nazionale, espresso in data 22 novembre 2024;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 9 dicembre 2024;
Acquisiti i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 28 febbraio 2025;
Sulla proposta del Ministro per gli affari europei, il PNRR e le politiche di coesione e del Ministro dell'economia e delle finanze, di concerto con i Ministri degli affari esteri e della cooperazione internazionale e della giustizia;

Emana

il seguente decreto legislativo:

Art. 1

Definizioni
1. Ai fini del presente decreto, si applicano le definizioni contenute negli articoli 2, paragrafo 2, e 3 del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.
2. Nel presente decreto si intendono per:
a) «Autorità competenti DORA»: le Autorità competenti di cui all'articolo 3, commi 1, 2 e 3, del presente decreto;
b) «Autorità nazionale competente NIS»: l'Agenzia per la cybersicurezza nazionale, quale autorità nazionale unica competente in materia di sicurezza delle reti e dei sistemi informativi, di cui all'articolo 10, comma 1, del decreto legislativo 4 settembre 2024, n. 138;
c) «CSIRT Italia»: il Gruppo nazionale di risposta agli incidenti di sicurezza informatica operante presso l'Agenzia di cybersicurezza nazionale di cui all'articolo 15 del decreto legislativo 4 settembre 2024, n. 138;
d) «regolamento DORA»: il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022;
e) «direttiva DORA»: la direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022;
f) «TUB»: il testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385;
g) «TUF»: il testo unico delle disposizioni in materia di intermediazione finanziaria, di cui al decreto legislativo 24 febbraio 1998, n. 58;
h) «CAP»: il codice delle assicurazioni private, di cui al decreto legislativo 7 settembre 2005, n. 209;
i) «Bancoposta»: Poste Italiane S.p.A., per le attività di bancoposta di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144.
3. Per quanto non diversamente previsto dal presente articolo si applicano le definizioni previste dalle disposizioni del TUB, del TUF, del CAP e del decreto legislativo 5 dicembre 2005, n. 252.
N O T E

Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge, modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per gli atti dell'Unione europea vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale dell'Unione Europea (GUUE).
Note alle premesse:
- L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per tempo limitato e per oggetti definiti.
- L'art. 87, quinto comma, della Costituzione conferisce al Presidente della Repubblica il potere di promulgare le leggi ed emanare i decreti aventi valore di legge e i regolamenti.
- Si riporta l'articolo 14 della legge 23 agosto 1988, n. 400, recante: «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri», pubblicata nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, S.O. n. 86:
«Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'articolo 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo è trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una pluralità di oggetti distinti suscettibili di separata disciplina, il Governo può esercitarla mediante più atti successivi per uno o più degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega.
4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda in due anni, il Governo è tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere è espresso dalle Commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette, con le sue osservazioni e con eventuali modificazioni, i testi alle Commissioni per il parere definitivo che deve essere espresso entro trenta giorni.».
- Si riportano gli articoli 31 e 32 della legge 24 dicembre 2012, n. 234, recante: «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea» pubblicata nella Gazzetta Ufficiale n. 3 del 4 gennaio 2013:
«Art. 31 (Procedure per l'esercizio delle deleghe legislative conferite al Governo con la legge di delegazione europea). - 1. In relazione alle deleghe legislative conferite con la legge di delegazione europea per il recepimento delle direttive, il Governo adotta i decreti legislativi entro il termine di quattro mesi antecedenti a quello di recepimento indicato in ciascuna delle direttive; per le direttive il cui termine così determinato sia già scaduto alla data di entrata in vigore della legge di delegazione europea, ovvero scada nei tre mesi successivi, il Governo adotta i decreti legislativi di recepimento entro tre mesi dalla data di entrata in vigore della medesima legge; per le direttive che non prevedono un termine di recepimento, il Governo adotta i relativi decreti legislativi entro dodici mesi dalla data di entrata in vigore della legge di delegazione europea.
2. I decreti legislativi sono adottati, nel rispetto dell'articolo 14 della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei ministri o del Ministro per gli affari europei e del Ministro con competenza prevalente nella materia, di concerto con i Ministri degli affari esteri, della giustizia, dell'economia e delle finanze e con gli altri Ministri interessati in relazione all'oggetto della direttiva. I decreti legislativi sono accompagnati da una tabella di concordanza tra le disposizioni in essi previste e quelle della direttiva da recepire, predisposta dall'amministrazione con competenza istituzionale prevalente nella materia.
3. La legge di delegazione europea indica le direttive in relazione alle quali sugli schemi dei decreti legislativi di recepimento è acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica. In tal caso gli schemi dei decreti legislativi sono trasmessi, dopo l'acquisizione degli altri pareri previsti dalla legge, alla Camera dei deputati e al Senato della Repubblica affinchè su di essi sia espresso il parere delle competenti Commissioni parlamentari. Decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del parere. Qualora il termine per l'espressione del parere parlamentare di cui al presente comma ovvero i diversi termini previsti dai commi 4 e 9 scadano nei trenta giorni che precedono la scadenza dei termini di delega previsti ai commi 1 o 5 o successivamente, questi ultimi sono prorogati di tre mesi.
4. Gli schemi dei decreti legislativi recanti recepimento delle direttive che comportino conseguenze finanziarie sono corredati della relazione tecnica di cui all'articolo 17, comma 3, della legge 31 dicembre 2009, n. 196. Su di essi è richiesto anche il parere delle Commissioni parlamentari competenti per i profili finanziari. Il Governo, ove non intenda conformarsi alle condizioni formulate con riferimento all'esigenza di garantire il rispetto dell'articolo 81, quarto comma, della Costituzione, ritrasmette alle Camere i testi, corredati dei necessari elementi integrativi d'informazione, per i pareri definitivi delle Commissioni parlamentari competenti per i profili finanziari, che devono essere espressi entro venti giorni.
5. Entro ventiquattro mesi dalla data di entrata in vigore di ciascuno dei decreti legislativi di cui al comma 1, nel rispetto dei principi e criteri direttivi fissati dalla legge di delegazione europea, il Governo può adottare, con la procedura indicata nei commi 2, 3 e 4, disposizioni integrative e correttive dei decreti legislativi emanati ai sensi del citato comma 1, fatto salvo il diverso termine previsto dal comma 6.
6. Con la procedura di cui ai commi 2, 3 e 4 il Governo può adottare disposizioni integrative e correttive di decreti legislativi emanati ai sensi del comma 1, al fine di recepire atti delegati dell'Unione europea di cui all'articolo 290 del Trattato sul funzionamento dell'Unione europea, che modificano o integrano direttive recepite con tali decreti legislativi. Le disposizioni integrative e correttive di cui al primo periodo sono adottate nel termine di cui al comma 5 o nel diverso termine fissato dalla legge di delegazione europea. Resta ferma la disciplina di cui all'articolo 36 per il recepimento degli atti delegati dell'Unione europea che recano meri adeguamenti tecnici.
7. I decreti legislativi di recepimento delle direttive previste dalla legge di delegazione europea, adottati, ai sensi dell'articolo 117, quinto comma, della Costituzione, nelle materie di competenza legislativa delle regioni e delle province autonome, si applicano alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
8. I decreti legislativi adottati ai sensi dell'articolo 33 e attinenti a materie di competenza legislativa delle regioni e delle province autonome sono emanati alle condizioni e secondo le procedure di cui all'articolo 41, comma 1.
9. Il Governo, quando non intende conformarsi ai pareri parlamentari di cui al comma 3, relativi a sanzioni penali contenute negli schemi di decreti legislativi recanti attuazione delle direttive, ritrasmette i testi, con le sue osservazioni e con eventuali modificazioni, alla Camera dei deputati e al Senato della Repubblica. Decorsi venti giorni dalla data di ritrasmissione, i decreti sono emanati anche in mancanza di nuovo parere.
Art. 32 (Principi e criteri direttivi generali di delega per l'attuazione del diritto dell'Unione europea). - 1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all'articolo 31 sono informati ai seguenti principi e criteri direttivi generali:
a) le amministrazioni direttamente interessate provvedono all'attuazione dei decreti legislativi con le ordinarie strutture amministrative, secondo il principio della massima semplificazione dei procedimenti e delle modalità di organizzazione e di esercizio delle funzioni e dei servizi;
b) ai fini di un migliore coordinamento con le discipline vigenti per i singoli settori interessati dalla normativa da attuare, sono introdotte le occorrenti modificazioni alle discipline stesse, anche attraverso il riassetto e la semplificazione normativi con l'indicazione esplicita delle norme abrogate, fatti salvi i procedimenti oggetto di semplificazione amministrativa ovvero le materie oggetto di delegificazione;
c) gli atti di recepimento di direttive dell'Unione europea non possono prevedere l'introduzione o il mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive stesse, ai sensi dell'articolo 14, commi 24-bis, 24-ter e 24-quater, della legge 28 novembre 2005, n. 246;
d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell'ammenda fino a 150.000 euro e dell'arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell'ammenda alternativa all'arresto per le infrazioni che espongano a pericolo o danneggino l'interesse protetto; la pena dell'arresto congiunta a quella dell'ammenda per le infrazioni che rechino un danno di particolare gravità.
Nelle predette ipotesi, in luogo dell'arresto e dell'ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274, e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro è prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell'ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entità, tenendo conto della diversa potenzialità lesiva dell'interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualità personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonché del vantaggio patrimoniale che l'infrazione può recare al colpevole ovvero alla persona o all'ente nel cui interesse egli agisce. Ove necessario per assicurare l'osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi più gravi, della privazione definitiva di facoltà e diritti derivanti da provvedimenti dell'amministrazione, nonché sanzioni penali accessorie nei limiti stabiliti dal codice penale.
Al medesimo fine è prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l'illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall'articolo 240, terzo e quarto comma, del codice penale e dall'articolo 20 della legge 24 novembre 1981, n. 689, e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente già comminate dalle leggi vigenti per violazioni omogenee e di pari offensività rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all'articolo 117, quarto comma, della Costituzione, le sanzioni amministrative sono determinate dalle regioni;
e) al recepimento di direttive o all'attuazione di altri atti dell'Unione europea che modificano precedenti direttive o atti già attuati con legge o con decreto legislativo si procede, se la modificazione non comporta ampliamento della materia regolata, apportando le corrispondenti modificazioni alla legge o al decreto legislativo di attuazione della direttiva o di altro atto modificato;
f) nella redazione dei decreti legislativi di cui all'articolo 31 si tiene conto delle eventuali modificazioni delle direttive dell'Unione europea comunque intervenute fino al momento dell'esercizio della delega;
g) quando si verifichino sovrapposizioni di competenze tra amministrazioni diverse o comunque siano coinvolte le competenze di più amministrazioni statali, i decreti legislativi individuano, attraverso le più opportune forme di coordinamento, rispettando i principi di sussidiarietà, differenziazione, adeguatezza e leale collaborazione e le competenze delle regioni e degli altri enti territoriali, le procedure per salvaguardare l'unitarietà dei processi decisionali, la trasparenza, la celerità, l'efficacia e l'economicità nell'azione amministrativa e la chiara individuazione dei soggetti responsabili;
h) qualora non siano di ostacolo i diversi termini di recepimento, vengono attuate con un unico decreto legislativo le direttive che riguardano le stesse materie o che comunque comportano modifiche degli stessi atti normativi;
i) è assicurata la parità di trattamento dei cittadini italiani rispetto ai cittadini degli altri Stati membri dell'Unione europea e non può essere previsto in ogni caso un trattamento sfavorevole dei cittadini italiani.».
- Si riporta l'articolo 16 della legge 21 febbraio 2024, n. 15, recante: «Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023», pubblicata nella Gazzetta Ufficiale n. 46 del 24 febbraio 2024:
«Art. 16 (Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, e per il recepimento della direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario). - 1. Il Governo è delegato ad adottare, entro diciotto mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all'articolo 31 della legge 24 dicembre 2012, n. 234, acquisito il parere dell'Agenzia per la cybersicurezza nazionale, uno o più decreti legislativi per l'adeguamento della normativa nazionale al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonché per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.
2. Nell'esercizio della delega di cui al comma 1, il Governo è tenuto a seguire, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
a) apportare alla normativa vigente, compreso il sistema sanzionatorio, le modifiche e integrazioni necessarie all'adeguamento dell'ordinamento giuridico nazionale al regolamento (UE) 2022/2554 e al recepimento della direttiva (UE) 2022/2556, con l'eventuale esercizio, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, delle opzioni previste dal regolamento (UE) 2022/2554. Nell'adozione di tali modifiche e integrazioni il Governo tiene conto degli orientamenti delle autorità di vigilanza europee, degli atti delegati adottati dalla Commissione europea e delle disposizioni legislative nazionali di recepimento delle seguenti direttive strettamente correlate al regolamento (UE) 2022/2554:
1) direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, di cui all'articolo 3 della presente legge;
2) direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, di cui all'articolo 5 della presente legge;
b) assicurare che alle autorità competenti, individuate ai sensi dell'articolo 19, paragrafo 1, secondo comma, e dell'articolo 46 del regolamento (UE) 2022/2554, siano attribuiti tutti i poteri di vigilanza, di indagine e sanzionatori per l'attuazione del regolamento (UE) 2022/2554 e della direttiva (UE) 2022/2556, coerentemente con il riparto di competenze nel settore finanziario nazionale;
c) attribuire alle autorità di cui alla lettera b) del presente comma il potere di imporre le sanzioni e le altre misure amministrative previste dagli articoli 42, paragrafo 6, e 50 del regolamento (UE) 2022/2554, nel rispetto dei limiti edittali e delle procedure previsti dalle disposizioni nazionali che disciplinano l'irrogazione delle sanzioni e l'applicazione delle altre misure amministrative da parte delle autorità anzidette, avuto riguardo al riparto di competenze nel settore finanziario nazionale;
c-bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonché alla società Poste italiane Spa per l'attività del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilità del settore finanziario nel suo complesso, in particolare:
1) definendo presidi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
2) tenendo conto, nella definizione dei presidi di cui al numero 1), del principio di proporzionalità e delle attività svolte dagli intermediari finanziari e dal Patrimonio Bancoposta;
3) attribuendo alla Banca d'Italia l'esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera.
d) prevedere, ove opportuno, il ricorso alla disciplina secondaria adottata dalle autorità indicate alla lettera b) secondo le rispettive competenze.
3. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni competenti provvedono all'adempimento dei compiti derivanti dall'esercizio della delega di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.»
- Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 è pubblicato nella G.U.U.E. 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) è pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario è pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio è pubblicata nella G.U.U.E. 27 dicembre 2022, n. L 333.
- Il decreto legislativo 1° settembre 1993, n. 385, recante: «Testo unico delle leggi in materia bancaria e creditizia» è pubblicato nella Gazzetta Ufficiale n. 230 del 30 settembre 1993, n. 230.
- Il decreto legislativo 24 febbraio 1998, n. 58, recante «Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli 8 e 21 della legge 6 febbraio 1996, n. 52» è pubblicato nella Gazzetta Ufficiale 26 marzo 1998, n. 71.
- Si riporta l'articolo 5, commi da 6 a 8, del decreto-legge 30 settembre 2003, n. 269 recante: «Disposizioni urgenti per favorire lo sviluppo e per la correzione dell'andamento dei conti pubblici», pubblicato nella Gazzetta Ufficiale n. 229 del 02-10-203, convertito, con modificazioni, dalla legge 24 novembre 2003, n. 326:
«Art. 5 (Trasformazione della Cassa depositi e prestiti in società per azioni). - (Omissis)
6. Alla CDP S.p.A. si applicano le disposizioni del Titolo V del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, previste per gli intermediari iscritti nell'elenco speciale di cui all'articolo 107 del medesimo decreto legislativo, tenendo presenti le caratteristiche del soggetto vigilato e la speciale disciplina della gestione separata di cui al comma 8.
7. La CDP S.p.A. finanzia, sotto qualsiasi forma:
a) lo Stato, le regioni, gli enti locali, gli enti pubblici e gli organismi di diritto pubblico, utilizzando fondi rimborsabili sotto forma di libretti di risparmio postale e di buoni fruttiferi postali, assistiti dalla garanzia dello Stato e distribuiti attraverso Poste italiane S.p.A. o società da essa controllate, e fondi provenienti dall'emissione di titoli, dall'assunzione di finanziamenti e da altre operazioni finanziarie, che possono essere assistiti dalla garanzia dello Stato.
L'utilizzo dei fondi di cui alla presente lettera è consentito anche per il compimento di ogni altra operazione di interesse pubblico prevista dallo statuto sociale della CDP S.p.A. effettuata nei confronti dei medesimi soggetti di cui al primo periodo, o dai medesimi promossa, nonché nei confronti di soggetti privati per il compimento di operazioni nei settori di interesse generale individuati ai sensi del successivo comma 11, lettera e),
((o al fine di contribuire al raggiungimento degli obiettivi stabiliti nell'ambito degli accordi internazionali sul clima e sulla tutela ambientale nonché su altri beni pubblici globali ai quali l'Italia ha aderito,))
tenuto conto della sostenibilità economico-finanziaria di ciascuna operazione. Le operazioni adottate nell'ambito delle attività di cooperazione internazionale allo sviluppo, di cui all'articolo 22 della legge 11 agosto 2014, n. 125, possono essere effettuate anche in cofinanziamento con istituzioni finanziarie europee, multilaterali o sovranazionali, nel limite annuo stabilito con apposita convenzione stipulata tra la medesima CDP S.p.A. e il Ministero dell'economia e delle finanze. Le operazioni di cui alla presente lettera possono essere effettuate anche in deroga a quanto previsto dal comma 11, lettera b);
b) le opere, gli impianti, le reti e le dotazioni destinati a iniziative di pubblica utilità, gli investimenti finalizzati a ricerca, sviluppo, innovazione, tutela e valorizzazione del patrimonio culturale, anche in funzione di promozione del turismo, ambiente, efficientamento energetico e promozione dello sviluppo sostenibile, anche con riferimento a quelle interessanti i territori montani e rurali per investimenti nel campo della green economy, nonché le iniziative per la crescita, anche per aggregazione, delle imprese, in Italia e all'estero, in via preferenziale in cofinanziamento con enti creditizi e comunque, utilizzando fondi provenienti dall'emissione di titoli, dall'assunzione di finanziamenti e da altre operazioni finanziarie, senza garanzia dello Stato e con preclusione della raccolta di fondi a vista. PERIODO SOPPRESSO DALLA L. 27 DICEMBRE 2013, N. 147.
7-bis. Fermo restando quanto stabilito al comma 7, la Cassa depositi e prestiti S.p.A., ai sensi del comma 7, lettera a), secondo periodo, può altresì fornire alle banche italiane e alle succursali di banche estere comunitarie ed extracomunitarie, operanti in Italia e autorizzate all'esercizio dell'attività bancaria, provvista attraverso finanziamenti, sotto la forma tecnica individuata nella convenzione di cui al periodo seguente, per l'erogazione di mutui garantiti da ipoteca su immobili residenziali da destinare prioritariamente all'acquisto dell'abitazione principale, preferibilmente appartenente ad una delle classi energetiche A, B o C, e ad interventi di ristrutturazione e accrescimento dell'efficienza energetica, con priorità per le giovani coppie, per i nuclei familiari di cui fa parte almeno un soggetto disabile e per le famiglie numerose. A tal fine le predette banche possono contrarre finanziamenti secondo contratti tipo definiti con apposita convenzione tra la Cassa depositi e prestiti S.p.A. e l'Associazione Bancaria Italiana. Nella suddetta convenzione sono altresì definite le modalità con cui i minori differenziali sui tassi di interesse in favore delle banche si trasferiscono sul costo del mutuo a vantaggio dei mutuatari. Ai finanziamenti di cui alla presente lettera concessi dalla Cassa depositi e prestiti S.p.A. alle banche, da destinare in via esclusiva alle predette finalità, si applica il regime fiscale di cui al comma 24.
8. La CDP S.p.A. assume partecipazioni e svolge le attività, strumentali, connesse e accessorie; per l'attuazione di quanto previsto al comma 7, lettera a), la CDP S.p.A. istituisce un sistema separato ai soli fini contabili ed organizzativi, la cui gestione uniformata a criteri di trasparenza e di salvaguardia dell'equilibrio economico. Sono assegnate alla gestione separata le partecipazioni e le attività ad essa strumentali, connesse e accessorie, e le attività di assistenza e di consulenza in favore dei soggetti di cui al comma 7, lettera a). Il decreto ministeriale di cui al comma 3 può prevedere forme di razionalizzazione e concentrazione delle partecipazioni detenute dalla Cassa depositi e prestiti alla data di trasformazione in società per azioni.
(Omissis).»
- Il decreto legislativo 7 settembre 2005, n. 209, recante: «Codice delle assicurazioni private» è pubblicato nella Gazzetta Ufficiale n. 239 del 13 ottobre 2005.
- Il decreto legislativo 5 dicembre 2005, n. 252, recante: «Disciplina delle forme pensionistiche complementari» è pubblicato nella Gazzetta Ufficiale n. 289 del 13 dicembre 2005, n. 289.
- La legge 28 dicembre 2005, n. 262, recante: «Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari» è pubblicata nella Gazzetta Ufficiale n. 301 del 28 dicembre 2005.
- Il decreto legislativo 16 novembre 2015, n. 180, recante: «Attuazione della direttiva 2014/59/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento e che modifica la direttiva 82/891/CEE del Consiglio, e le direttive 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE e 2013/36/UE e i regolamenti (UE), n. 1093/2010 e (UE) n. 648/2012, del Parlamento europeo e del Consiglio» è pubblicato nella Gazzetta Ufficiale n. 267 del 16 novembre 2015.
- Il decreto-legge 21 settembre 2019, n. 105 recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica» pubblicato nella Gazzetta Ufficiale n. 222 del 21 settembre 2019, è convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
- Il decreto-legge 14 giugno 2021, n. 82 recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» è pubblicato nella Gazzetta Ufficiale n. 140 del 14 giugno 2021 è convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.
- Si riporta l'articolo 15 della legge 28 giugno 2024, n. 90, recante: «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici», pubblicata nella Gazzetta Ufficiale n. 153 del 2 luglio 2024:
«Art. 15 (Modifica all'articolo 16 della legge 21 febbraio 2024, n. 15). - 1. All'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15, dopo la lettera c) è inserita la seguente:
"c-bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonché alla società Poste italiane Spa per l'attività del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilità del settore finanziario nel suo complesso, in particolare:
1) definendo presidi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
2) tenendo conto, nella definizione dei presidi di cui al numero 1), del principio di proporzionalità e delle attività svolte dagli intermediari finanziari e dal Patrimonio Bancoposta;
3) attribuendo alla Banca d'Italia l'esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera".».
- Il decreto legislativo 5 settembre 2024, n. 129, recante: «Adeguamento della normativa nazionale al regolamento (UE) 2023/1114 del Parlamento europeo e del Consiglio, del 31 maggio 2023, relativo ai mercati delle cripto-attività e che modifica i regolamenti (UE) n. 1093/2010 e (UE) n. 1095/2010 e le direttive 2013/36/UE e (UE) 2019/1937» è pubblicato nella Gazzetta Ufficiale n. 215 del 13 settembre 2024.
- Il decreto legislativo 4 settembre 2024, n. 138, recante: «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 è pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024.

Note all'art. 1:
- Per i riferimenti al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022 si vedano le note alle premesse.
- Si riporta il testo degli articoli 10 e 15 del citato decreto legislativo 4 settembre 2024, n. 138:
«Art. 10 (Autorità nazionale competente e Punto di contatto unico). - 1. L'Agenzia per la cybersicurezza nazionale è l'Autorità nazionale competente NIS di cui all'articolo 8, paragrafo 1, della direttiva (UE) 2022/2555 e pertanto:
a) sovrintende all'implementazione e all'attuazione del presente decreto;
b) predispone i provvedimenti necessari a dare attuazione al presente decreto;
c) svolge le funzioni e le attività di regolamentazione di cui al presente decreto, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti;
d) individua i soggetti essenziali e i soggetti importanti ai sensi degli articoli 3 e 6, nonché redige l'elenco di cui all'articolo 7, comma 2;
e) partecipa al Gruppo di cooperazione NIS, nonché ai consessi e alle iniziative promosse a livello di Unione europea relativi all'attuazione della direttiva (UE) 2022/2555;
f) definisce gli obblighi di cui all'articolo 7, comma 6, e al capo IV;
g) svolge le attività ed esercita i poteri di cui al capo V.
2. L'Agenzia per la cybersicurezza nazionale è il Punto di contatto unico NIS di cui all'articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione e l'ENISA.
3. Ai fini dell'attuazione del presente articolo è autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025 a cui si provvede ai sensi dell'articolo 44.».
«Art. 15 (Gruppo nazionale di risposta agli incidenti di sicurezza informatica - CSIRT Italia). - 1. Il CSIRT Italia, fermo restando quanto previsto dal decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109:
a) è l'organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i settori, i sottosettori e le tipologie di soggetti di cui agli allegati I, II, III e IV, conformemente a modalità e procedure definite dal CSIRT stesso;
b) dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale attraverso la quale scambiare informazioni con i soggetti essenziali o importanti e con gli altri portatori di interesse pertinenti;
c) coopera e, se opportuno, scambia informazioni pertinenti conformemente all'articolo 17 con comunità settoriali o intersettoriali di soggetti essenziali e di soggetti importanti;
d) partecipa alla revisione tra pari di cui all'articolo 21;
e) garantisce la collaborazione effettiva, efficiente e sicura, nella Rete di CSIRT nazionali di cui all'articolo 20;
f) ai sensi dell'articolo 7, comma 1, lettera s), del decreto-legge n. 82 del 2021, può stabilire relazioni di cooperazione con gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi.
Nell'ambito di tali relazioni di cooperazione, facilita uno scambio di informazioni efficace, efficiente e sicuro con tali CSIRT nazionali, o strutture nazionali equivalenti di Paesi terzi, utilizzando i pertinenti protocolli di condivisione delle informazioni, ivi inclusi quelli adottati e sviluppati dalle principali comunità nazionali, europee e internazionali del settore. Il CSIRT Italia può scambiare informazioni pertinenti con Gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi o con organismi equivalenti di Paesi terzi, compresi dati personali ai sensi della normativa nazionale vigente e del diritto dell'Unione europea in materia di protezione dei dati personali;
g) ai sensi dell'articolo 7, comma 1, lettera s), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, può cooperare con Gruppi nazionali di risposta agli incidenti di sicurezza informatica di Paesi terzi o con organismi equivalenti di Paesi terzi, in particolare al fine di fornire loro assistenza in materia di sicurezza informatica.
2. Il CSIRT Italia:
a) è dotato di un alto livello di disponibilità dei propri canali di comunicazione evitando singoli punti di malfunzionamento e dispone di mezzi che gli permettono di essere contattato e di contattare i soggetti essenziali o importanti e altri CSIRT nazionali in qualsiasi momento.
Il CSIRT Italia indica chiaramente i canali di comunicazione e li rende noti ai soggetti essenziali e importanti e agli altri CSIRT nazionali;
b) dispone di locali e sistemi informativi di supporto ubicati in siti sicuri;
c) utilizza un sistema adeguato di gestione e inoltro delle richieste, in particolare per facilitare i trasferimenti in maniera efficace ed efficiente;
d) garantisce la riservatezza e l'affidabilità delle proprie attività;
e) è dotato di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei propri servizi;
f) partecipa, se del caso, a reti di cooperazione internazionale.
3. Il CSIRT Italia svolge i seguenti compiti:
a) monitora e analizza le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale e, su richiesta, fornisce assistenza ai soggetti essenziali e ai soggetti importanti interessati per quanto riguarda il monitoraggio in tempo reale o prossimo al reale dei loro sistemi informativi e di rete, secondo un ordine di priorità delle attività definito dal medesimo CSIRT Italia, onde evitare oneri sproporzionati o eccessivi;
b) emette preallarmi, allerte e bollettini e divulga informazioni ai soggetti essenziali e ai soggetti importanti interessati, nonché alle autorità nazionali competenti e agli altri pertinenti portatori di interessi, in merito a minacce informatiche, vulnerabilità e incidenti, se possibile in tempo prossimo al reale;
c) fornisce una risposta agli incidenti e assistenza ai soggetti essenziali e ai soggetti importanti interessati, ove possibile;
d) raccoglie e analizza dati forensi e fornisce un'analisi dinamica dei rischi e degli incidenti, nonché una consapevolezza situazionale riguardo alla sicurezza informatica;
e) effettua, su richiesta di un soggetto essenziale o importante, secondo modalità e procedure definite, una scansione proattiva dei sistemi informativi e di rete del soggetto interessato per rilevare le vulnerabilità con potenziale impatto significativo;
f) partecipa alla Rete di CSIRT nazionali di cui all'articolo 20 e fornisce assistenza reciproca secondo le proprie capacità e competenze agli altri membri della Rete di CSIRT nazionali su loro richiesta;
g) agisce in qualità di coordinatore ai fini del processo di divulgazione coordinata delle vulnerabilità di cui all'articolo 16;
h) contribuisce allo sviluppo di strumenti sicuri per la condivisione delle informazioni di cui al comma 1, lettera b);
i) può effettuare, secondo modalità e procedure definite, una scansione proattiva e non intrusiva dei sistemi informativi e di rete accessibili al pubblico di soggetti essenziali e di soggetti importanti. Tale scansione è effettuata per individuare sistemi informativi e di rete vulnerabili o configurati in modo non sicuro e per informare i soggetti interessati. Tale scansione non ha alcun impatto negativo sul funzionamento dei servizi dei soggetti.
4. Il CSIRT Italia applica un approccio basato sul rischio per stabilire l'ordine di priorità nello svolgimento dei compiti di cui al comma 3.
5. In caso di eventi malevoli per la sicurezza informatica, le strutture pubbliche con funzione di computer emergency response team (CERT) collaborano con il CSIRT Italia, anche ai fini di un più efficace coordinamento della risposta agli incidenti.
6. Il CSIRT Italia instaura rapporti di cooperazione con i pertinenti portatori di interesse nazionali del settore privato al fine di perseguire gli obiettivi del presente decreto in relazione alle proprie competenze.
7. Al fine di agevolare la cooperazione di cui al comma 5, il CSIRT Italia promuove l'adozione e l'uso di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni per quanto riguarda:
a) le procedure di gestione degli incidenti;
b) la divulgazione coordinata delle vulnerabilità ai sensi dell'articolo 16.
8. Ai fini dell'attuazione del presente articolo è autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025, a cui si provvede ai sensi dell'articolo 44.».
- Per i riferimenti alla direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio del 14 dicembre 2022 si vedano le note alle premesse.
- Per i riferimenti al decreto legislativo 1° settembre 1993 n. 385 si vedano le note alle premesse.
- Per i riferimenti al decreto legislativo 24 febbraio 1998, n. 58 si vedano le note alle premesse.
- Per i riferimenti al decreto legislativo 7 settembre 2005, n. 209 si vedano le note alle premesse.
- Il decreto Presidente della Repubblica 14 marzo 2001, n. 144 recante: «Regolamento recante norme sui servizi di bancoposta» è pubblicato nella Gazzetta Ufficio n. 94 del 23 aprile 2001.
- Per i riferimenti al decreto legislativo 5 dicembre 2005, n. 252 si vedano le note alle premesse.
articolo successivo