stai visualizzando l'atto

LEGGE 21 febbraio 2024, n. 15

Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea - Legge di delegazione europea 2022-2023. (24G00027)

note: Entrata in vigore del provvedimento: 10/03/2024 (Ultimo aggiornamento all'atto pubblicato il 02/07/2024)
nascondi
  • Articoli
  • Disposizioni generali per il recepimento e l'attuazione degli atti dell'Unione europea
  • 1
  • 2
  • Deleghe al Governo per il recepimento di direttive europee
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • Deleghe al Governo per l'adeguamento della normativa nazionale a regolamenti europei
  • 14
  • 15
  • 16
  • orig.
  • 17
  • 18
  • 19
  • Allegati
Testo in vigore dal:  10-3-2024

Art. 3



Principi e criteri direttivi per l'esercizio della delega per il recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS2)

1. Nell'esercizio della delega per il recepimento della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, il Governo, sentita l'Agenzia per la cybersicurezza nazionale, osserva, oltre ai principi e criteri direttivi generali di cui all'articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
a) individuare i criteri in base ai quali un ente pubblico può essere considerato pubblica amministrazione ai fini dell'applicazione delle disposizioni della direttiva (UE) 2022/2555, anche considerando la possibilità di applicazione della direttiva medesima ai comuni e alle province secondo principi di gradualità, proporzionalità e adeguatezza;
b) escludere dall'ambito di applicazione delle disposizioni della direttiva (UE) 2022/2555 gli enti della pubblica amministrazione operanti nei settori di cui all'articolo 2, paragrafo 7, della direttiva medesima, compresi gli organismi di informazione per la sicurezza ai quali si applicano le disposizioni della legge 3 agosto 2007, n. 124;
c) avvalersi della facoltà di cui all'articolo 2, paragrafo 8, della direttiva (UE) 2022/2555, prevedendo che con uno o più decreti del Presidente del Consiglio dei ministri, adottati su proposta delle competenti amministrazioni, siano esentati soggetti specifici che svolgono attività nei settori ivi indicati o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui all'articolo 2, paragrafo 7, della medesima direttiva;
d) confermare la distinzione tra l'Agenzia per la cybersicurezza nazionale, quale autorità nazionale competente e punto di contatto, ai sensi dell'articolo 8 della direttiva (UE) 2022/2555, e le autorità di settore operanti negli ambiti di cui agli allegati I e II alla medesima direttiva;
e) in relazione all'istituzione del team di risposta agli incidenti di sicurezza informatica (CSIRT), di cui all'articolo 10 della direttiva (UE) 2022/2555, confermare le disposizioni dell'articolo 8 del decreto legislativo 18 maggio 2018, n. 65, in materia di istituzione del CSIRT Italia, nonché ampliare quanto previsto dal medesimo decreto legislativo prevedendo la collaborazione tra tutte le strutture pubbliche con funzioni di Computer Emergency Response Team (CERT) coinvolte in caso di eventi malevoli per la sicurezza informatica;
f) prevedere un regime transitorio per i soggetti già sottoposti alla disciplina del decreto legislativo 18 maggio 2018, n. 65, recante attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, garantendo termini congrui di adeguamento, ai fini della migliore applicazione delle disposizioni previste dalla direttiva (UE) 2022/2555;
g) prevedere meccanismi che consentano la registrazione dei soggetti essenziali e importanti, di cui all'articolo 3 della direttiva (UE) 2022/2555, per la comunicazione dei dati previsti dal paragrafo 4 del medesimo articolo 3, compresi i soggetti che gestiscono servizi connessi o strumentali alle attività oggetto delle disposizioni della direttiva medesima relative al settore della cultura;
h) in relazione alle misure di cui all'articolo 21, paragrafo 2, della direttiva (UE) 2022/2555, prevedere l'individuazione, attraverso l'utilizzo di strumenti flessibili atti a corrispondere al rapido sviluppo tecnologico, delle tecnologie necessarie ad assicurare l'effettiva attivazione delle misure stesse. L'autorità amministrativa individuata come responsabile di tale procedimento provvede altresì all'aggiornamento degli strumenti adottati;
i) introdurre nella legislazione vigente, anche in materia penale, le modifiche necessarie al fine di assicurare il corretto recepimento nell'ordinamento nazionale delle disposizioni della direttiva (UE) 2022/2555 in materia di divulgazione coordinata delle vulnerabilità;
l) definire le competenze dell'Agenzia per l'Italia digitale e dell'Agenzia per la cybersicurezza nazionale in relazione alle attività previste dal regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014;
m) individuare criteri oggettivi e proporzionati ai fini dell'applicazione degli obblighi informativi di cui all'articolo 23, paragrafo 2, della direttiva (UE) 2022/2555;
n) rivedere il sistema sanzionatorio e il sistema di vigilanza ed esecuzione, in particolare:
1) prevedendo sanzioni effettive, proporzionate e dissuasive rispetto alla gravità della violazione degli obblighi derivanti dalla direttiva (UE) 2022/2555, anche in deroga ai criteri e ai limiti previsti dall'articolo 32, comma 1, lettera d), della legge 24 dicembre 2012, n. 234, e alla legge 24 novembre 1981, n. 689, introducendo strumenti deflativi del contenzioso, quali la diffida ad adempiere;
2) prevedendo che gli introiti derivanti dall'irrogazione delle sanzioni siano versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all'articolo 18 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale;
o) assicurare il migliore coordinamento tra le disposizioni adottate ai sensi del presente articolo per il recepimento della direttiva (UE) 2022/2555, le disposizioni adottate ai sensi dell'articolo 5 della presente legge per il recepimento della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonché le disposizioni del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, e quelle adottate ai sensi dell'articolo 16 della presente legge per l'adeguamento a quest'ultimo e per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;
p) apportare alla normativa vigente tutte le modificazioni e le integrazioni occorrenti ad assicurare il coordinamento con le disposizioni emanate in attuazione del presente articolo.
Note all'art. 3:
- La direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (Testo rilevante ai fini del SEE), è pubblicata nella GUUE 27 dicembre 2022, n. L 333.
- Per il testo dell'articolo 32 della citata legge 24 dicembre 2012, n. 234, si veda nelle note all'articolo 1.
- La legge 3 agosto 2007, n. 124, recante: «Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto», è pubblicata nella Gazzetta Ufficiale 13 agosto 2007, n. 187.
- Si riporta il testo dell'articolo 8 del decreto legislativo 18 maggio 2018, n. 65 (Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione):
«Art. 8 (Gruppi di intervento per la sicurezza informatica in caso di incidente - CSIRT). - 1. È istituito, presso l'Agenzia per la cybersicurezza nazionale, il CSIRT italiano, che svolge i compiti e le funzioni del Computer Emergency Response Team (CERT) nazionale, di cui all'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e del CERT-PA, già operante presso l'Agenzia per l'Italia digitale ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82.
2. L'organizzazione e il funzionamento del CSIRT italiano sono disciplinati con decreto del Presidente del Consiglio dei ministri ai sensi dell'articolo 7 del decreto legislativo 30 luglio 1999, n. 303, da adottare entro il 9 novembre 2018.
3. Nelle more dell'adozione del decreto di cui al comma 2, le funzioni di CSIRT italiano sono svolte dal CERT nazionale unitamente al CERT-PA in collaborazione tra loro.
4. Il CSIRT italiano assicura la conformità ai requisiti di cui all'allegato I, punto 1, svolge i compiti di cui all'allegato I, punto 2, si occupa dei settori di cui all'allegato II e dei servizi di cui all'allegato III e dispone di un'infrastruttura di informazione e comunicazione appropriata, sicura e resiliente a livello nazionale.
5. Il CSIRT italiano definisce le procedure per la prevenzione e la gestione degli incidenti informatici.
6. Il CSIRT italiano garantisce la collaborazione effettiva, efficiente e sicura, nella rete di CSIRT di cui all'articolo 11.
7. La Presidenza del Consiglio dei ministri comunica alla Commissione europea il mandato del CSIRT italiano e le modalità di trattamento degli incidenti a questo affidati.
8. Il CSIRT italiano, per lo svolgimento delle proprie funzioni, può avvalersi anche dell'Agenzia per l'Italia digitale.
9. Le funzioni svolte dal Ministero dello sviluppo economico in qualità di CERT nazionale ai sensi dell'articolo 16-bis, del decreto legislativo 1° agosto 2003, n. 259, nonché quelle svolte da Agenzia per l'Italia digitale in qualità di CERT-PA, ai sensi dell'articolo 51 del decreto legislativo 7 marzo 2005, n. 82, sono trasferite al CSIRT italiano a far data dalla entrata in vigore del decreto di cui al comma 2.
10. Per le spese relative al funzionamento del CSIRT italiano è autorizzata la spesa di 2.000.000 di euro annui a decorrere dall'anno 2020. A tali oneri si provvede ai sensi dell'articolo 22.»
- Il regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, è pubblicato nella GUUE 28 agosto 2014, n. L 257.
- Per il testo dell'articolo 32, comma 1, lettera d), della citata legge 24 dicembre 2012, n. 234, si veda nelle note all'articolo 1.
- La legge 24 novembre 1981, n. 689, recante: «Modifiche al sistema penale», è pubblicata nella Gazzetta Ufficiale n. 329 del 30 novembre 1981, S.O.
- Si riporta il testo dell'articolo 18 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 10 (Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale):
«Art. 18 (Relazioni annuali). - 1. Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei ministri trasmette al Parlamento una relazione sull'attività svolta dall'Agenzia nell'anno precedente, in materia di cybersicurezza nazionale.
2. Entro il 30 giugno di ogni anno, il Presidente del Consiglio dei ministri trasmette al COPASIR una relazione sulle attività svolte nell'anno precedente dall'Agenzia negli ambiti concernenti la tutela della sicurezza nazionale nello spazio cibernetico relativamente ai profili di competenza del Comitato.»
- La direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e abroga la direttiva 2008/114/CE del Consiglio (Testo rilevante ai fini del SEE), è pubblicata nella GUUE 27 dicembre 2022, n. L 333.
- Il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (Testo rilevante ai fini del SEE), è pubblicato nella GUUE 27 dicembre 2022, n. L 333.
- La direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario (Testo rilevante ai fini del SEE), è pubblicata nella GUUE 27 dicembre 2022, n. L 333.