Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148. (24G001

Il presente decreto stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea in modo da migliorare il funzionamento del mercato interno.

Nell'ambito di applicazione del presente decreto rientrano i soggetti pubblici e privati delle tipologie di cui agli allegati I, II, III e IV, che costituiscono parte integrante del presente decreto, che sono sottoposti alla giurisdizione nazionale ai sensi dell'articolo 5. Gli allegati I e II descrivono i settori ritenuti, rispettivamente, altamente critici e critici, nonche' i relativi sottosettori e le tipologie di soggetti. Gli allegati III e IV descrivono, rispettivamente, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il presente decreto.

Il presente decreto si applica ai soggetti delle tipologie di cui all'allegato I e II, che superano i massimali per le piccole imprese ai sensi dell'articolo 2, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE.

L'articolo 3, paragrafo 4, dell'allegato alla raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, non si applica ai fini del presente decreto.

Per determinare se un soggetto e' da considerarsi una media o grande impresa ai sensi dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE, si applica l'articolo 6, paragrafo 2, del medesimo allegato, salvo che cio' non sia proporzionato, tenuto anche conto dell'indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce.

Il presente decreto si applica, altresi', anche indipendentemente dalle loro dimensioni, alle pubbliche amministrazioni di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, ricomprese nelle categorie elencate nell'allegato III.

Sulla base di un criterio di gradualita', dell'evoluzione del grado di esposizione al rischio della pubblica amministrazione, della probabilita' che si verifichino incidenti e della loro gravita', compreso il loro impatto sociale ed economico, tenuto conto anche dei criteri di cui al comma 9, con uno o piu' decreti del Presidente del Consiglio dei ministri adottati secondo le modalita' di cui all'articolo 40, comma 2, possono essere individuate ulteriori categorie di pubbliche amministrazioni a cui si applica il presente decreto al fine di adeguare l'elenco di categorie di cui all'allegato III.

Il presente decreto si applica, altresi', indipendentemente dalle loro dimensioni, anche ai soggetti delle tipologie di cui all'allegato IV, individuati secondo le procedure di cui al comma 13.

Resta ferma la disciplina in materia di protezione dei dati personali di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e al decreto legislativo 30 giugno 2003, n. 196, nonche' in materia di lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile di cui al decreto legislativo 4 marzo 2014, n. 39.

L'Autorita' nazionale competente NIS applica la clausola di salvaguardia di cui al comma 4, secondo i criteri per la determinazione individuati con le modalita' di cui all'articolo 40, comma 1.

I soggetti di cui ai commi 8 e 9 sono individuati dall'Autorita' nazionale competente NIS, su proposta delle Autorita' di settore, secondo le modalita' di cui all'articolo 40, comma 4.
L'Autorita' nazionale competente NIS notifica a tali soggetti la loro individuazione ai fini della registrazione di cui all'articolo 7, comma 1.

Le disposizioni di cui all'articolo 17 e ai Capi IV e V del presente decreto non si applicano ai soggetti identificati come essenziali o importanti dei settori 3 e 4 di cui all'allegato I, ai quali si applica la disciplina di cui al regolamento (UE) 2022/2554.

Il presente decreto non si applica, ai sensi dell'articolo 2, comma 10, della direttiva, ai soggetti esentati dall'ambito di applicazione del regolamento (UE) 2022/2554.

Il presente decreto lascia impregiudicata la responsabilita' dello Stato italiano di tutelare la sicurezza nazionale e il suo potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrita' territoriale dello Stato e il mantenimento dell'ordine pubblico.

I soggetti di cui all'articolo 3, commi 6 e 7, non ricomprendono il Parlamento italiano, l'Autorita' giudiziaria, la Banca d'Italia e l'Unita' di informazione finanziaria per l'Italia di cui all'articolo 6 del decreto legislativo 21 novembre 2007, n. 231. Agli Organi costituzionali e di rilievo costituzionale non si applicano le previsioni di cui al capo V.

Il presente decreto non si applica agli enti, organi e articolazioni della pubblica amministrazione che operano nei settori della pubblica sicurezza, della difesa nazionale, o dell'attivita' di contrasto, compresi l'indagine, l' accertamento e il perseguimento di reati, nonche' agli organismi di informazione per la sicurezza di cui alla legge 3 agosto 2007, n. 124, all'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.

Fermo restando quanto previsto dal comma 3, con uno o piu' decreti del Presidente del Consiglio dei ministri adottati, anche su proposta dei Ministri della giustizia, dell'interno e della difesa, per gli ambiti di rispettiva competenza, d'intesa con l'Agenzia per la cybersicurezza nazionale, sono individuati i soggetti che svolgono attivita' o forniscono servizi in via esclusiva per gli enti, organi e articolazioni della pubblica amministrazione di cui al comma 3, nonche' in materia di protezione civile. A tali soggetti, nell'espletamento di tali attivita' o servizi, non si applicano gli obblighi di cui al capo IV e le previsioni di cui al capo V.

Con decreto del Presidente del Consiglio dei ministri, adottato ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono individuati i soggetti che svolgono attivita' o forniscono servizi in via esclusiva per gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007. A tali soggetti, nell'espletamento dei predetti attivita' o servizi, non si applicano gli obblighi di cui al capo IV e le previsioni di cui al capo V. Dei provvedimenti adottati ai sensi del primo periodo viene data comunicazione all'Agenzia per la cybersicurezza nazionale.

Ai sensi del comma 4, non possono essere esclusi gli enti, organi e articolazioni della pubblica amministrazione con competenze di regolazione o le cui attivita' sono solo marginalmente connesse ai settori di cui al medesimo comma. Non possono altresi' essere esclusi i soggetti che agiscono in qualita' di prestatore di servizi fiduciari. I soggetti di cui al comma 4 assicurano un livello di sicurezza informatica coerente con gli obblighi di cui al capo IV.

Gli obblighi stabiliti nel presente decreto non comportano la fornitura di informazioni la cui divulgazione sia contraria agli interessi essenziali dello Stato italiano in materia di sicurezza nazionale, pubblica sicurezza o difesa.

Fatto salvo quanto previsto dall'articolo 346 del trattato sul funzionamento dell'Unione europea, le informazioni riservate secondo quanto disposto dalla normativa dell'Unione europea e nazionale, in particolare per quanto concerne la riservatezza degli affari, sono scambiate con la Commissione europea e con le autorita' competenti degli Stati membri solo nella misura in cui tale scambio sia necessario ai fini dell'applicazione del presente decreto. Le informazioni scambiate sono pertinenti e commisurate allo scopo. Lo scambio di informazioni ne tutela la riservatezza e protegge la sicurezza e gli interessi commerciali dei soggetti essenziali e dei soggetti importanti.

Giurisdizione e territorialita'

Ai fini di cui al comma 1, lettera b), si considera stabilimento principale nell'Unione quello dello Stato membro nel quale sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio per la sicurezza informatica. Se non e' possibile determinare lo Stato membro in cui sono adottate le suddette decisioni o se le stesse non sono adottate nell'Unione, lo stabilimento principale e' considerato quello collocato nello Stato membro in cui sono effettuate le operazioni di sicurezza informatica, ovvero, ove cio' non sia possibile, quello dello Stato membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti nell'Unione europea.

Se i soggetti di cui al comma 1, lettera b), non sono stabiliti nel territorio dell'Unione ma offrono servizi all'interno dello stesso, essi designano un rappresentante nell'Unione, che e' stabilito in uno degli Stati membri in cui sono offerti i predetti servizi ed e' sottoposto alla relativa giurisdizione.

In assenza della designazione del rappresentante da parte di uno dei soggetti di cui al comma 3, l'Autorita' nazionale competente NIS puo' avviare un'azione legale, nei confronti dei soggetti inadempienti.

La designazione del rappresentante di cui al comma 3 non pregiudica le azioni legali che potrebbero essere state gia' avviate per violazioni degli obblighi di cui al presente decreto, l'imposizione degli obblighi di cui al capo IV e l'esercizio dei poteri di cui al capo V.

Fermo restando quanto previsto dal comma 1, l'Autorita' nazionale competente NIS individua, secondo le modalita' di cui all'articolo 40, comma 5, i soggetti di cui all'articolo 3, commi 6, 8, 9 e 10, che, indipendentemente dalle loro dimensioni, sono considerati essenziali.

Ai fini del presente decreto, sono considerati soggetti importanti i soggetti di cui all'articolo 3 che non sono considerati essenziali ai sensi dei commi 1 e 2 del presente articolo.

Entro il 31 marzo di ogni anno successivo alla data di entrata in vigore del presente decreto, l'Autorita' nazionale competente NIS, redige, secondo le modalita' di cui all'articolo 40, comma 5, l'elenco dei soggetti essenziali e dei soggetti importanti, sulla base delle registrazioni di cui al comma 1 e delle decisioni adottate ai sensi degli articoli 3, 4, e 6.

L'Autorita' nazionale competente NIS stabilisce, secondo le modalita' di cui all'articolo 40, comma 5, i termini, le modalita' e i procedimenti di utilizzo e accesso alla piattaforma digitale di cui al comma 1, indicando altresi' eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dei commi 1 e 4, nonche' i termini, le modalita' e i procedimenti di designazione dei rappresentanti di cui all'articolo 5, comma 3.

I soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b), notificano all'Autorita' nazionale competente NIS, tramite la piattaforma digitale di cui al comma 1, qualsiasi modifica delle informazioni trasmesse ai sensi del presente articolo tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica.

L'Agenzia per la cybersicurezza nazionale, le Autorita' di settore NIS e i soggetti di cui all'articolo 3 trattano i dati personali nella misura necessaria ai fini del presente decreto e conformemente al decreto legislativo 30 giugno 2003, n. 196 e al regolamento (UE) 2016/679.

Il trattamento dei dati personali ai sensi del presente decreto da parte dei fornitori di reti pubbliche di comunicazione elettronica o dei fornitori di servizi di comunicazione elettronica accessibili al pubblico viene effettuato in conformita' della legislazione dell'Unione europea in materia di protezione dei dati e della legislazione dell'Unione europea in materia di tutela della vita privata, ai sensi della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002.

La Strategia nazionale di cybersicurezza individua gli obiettivi strategici e le risorse necessarie per conseguirli, nonche' adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello elevato di cybersicurezza.

Ferme restando le funzioni del Presidente del Consiglio dei ministri di cui all'articolo 2, commi 1 e 2, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, l'Agenzia per la cybersicurezza nazionale provvede ai sensi dell'articolo 7 del citato decreto-legge n. 82 del 2021, sentite le amministrazioni componenti il Nucleo per la cybersicurezza, alla periodica valutazione della Strategia nazionale di cybersicurezza, nonche' al suo aggiornamento ove necessario e comunque almeno ogni cinque anni sulla base di indicatori chiave di prestazione, proponendone l'adozione al Presidente del Consiglio dei ministri con le modalita' di all'articolo 2, comma 1, lettera b), del medesimo decreto-legge.

Autorita' nazionale competente e Punto di contatto unico

L'Agenzia per la cybersicurezza nazionale e' il Punto di contatto unico NIS di cui all'articolo 8, paragrafo 3, della direttiva (UE) 2022/2555, svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorita' nazionali con le autorita' pertinenti degli altri Stati membri, la Commissione e l'ENISA.

Ai fini dell'attuazione del presente articolo e' autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025 a cui si provvede ai sensi dell'articolo 44.

Autorita' di settore NIS

Al fine di assicurare l'efficace attuazione del presente decreto a livello settoriale, sono individuate le Autorita' di settore NIS che supportano l'Autorita' nazionale competente NIS e collaborano con essa, secondo le modalita' di cui all'articolo 40, comma 2, lettera c).

Le Amministrazioni di cui al comma 2, per i rispettivi settori e sottosettori di competenza, sono altresi' designate Autorita' di settore per i soggetti di cui all'articolo 3, commi 9 e 10.

Con accordo sancito entro il 30 ottobre 2024 in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite modalita' di collaborazione tra le Autorita' di settore e le regioni e le province autonome di Trento e di Bolzano interessate, quando il soggetto critico ha carattere regionale ovvero opera esclusivamente sul territorio di una regione o di una provincia autonoma nei settori di cui al comma 2, lettere a), numeri 3 e 4, d), e), f), h) e i), numero 1.

Per l'esercizio delle competenze attribuite dal presente decreto, ciascuna autorita' di settore, ad eccezione di quella indicata al comma 2, lettera b), e' autorizzata a reclutare, con contratto di lavoro subordinato a tempo indeterminato, n. 2 unita' di personale non dirigenziale, appartenente all'area funzionari del vigente contratto collettivo nazionale - Comparto funzioni centrali, o categorie equivalenti, mediante procedure di passaggio diretto di personale tra amministrazioni pubbliche ai sensi dell'articolo 30 del decreto legislativo 30 marzo 2001, n. 165, scorrimento di vigenti graduatorie di concorsi pubblici o avvio di nuove procedure concorsuali pubbliche, nonche' ad avvalersi di personale non dirigenziale posto in posizione di comando, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, di aspettativa, distacco o fuori ruolo ovvero altro analogo istituto previsto dai rispettivi ordinamenti, ad esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. All'atto del collocamento fuori ruolo e' reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario.

Per l'attuazione del comma 6 del presente articolo e' autorizzata la spesa di 409.424 euro per l'anno 2024 e di euro 925.695 annui a decorrere dall'anno 2025, a cui si provvede ai sensi dell'articolo 44.

Presso l'Agenzia per la cybersicurezza nazionale e' costituito, in via permanente, il Tavolo per l'attuazione della disciplina NIS, per assicurare l'implementazione e attuazione del presente decreto.

Il Tavolo per l'attuazione della disciplina NIS e' presieduto dal direttore generale dell'Agenzia per la cybersicurezza nazionale, o da un suo delegato, ed e' composto da un rappresentante di ogni Autorita' di settore NIS di cui all'articolo 11 e da due rappresentanti designati da regioni e province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano.

I componenti del Tavolo per l'attuazione della disciplina NIS possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di universita' o di enti e istituti di ricerca, nonche' di operatori privati interessati dalle previsioni di cui al presente decreto.

Il Tavolo per l'attuazione della disciplina NIS e' convocato su indicazione del presidente o su richiesta di almeno tre componenti e si riunisce almeno una volta per trimestre.

Con le modalita' di cui all'articolo 40, comma 5, possono essere dettate ulteriori disposizioni per l'organizzazione e per il funzionamento del Tavolo. Per la partecipazione al Tavolo per l'attuazione della disciplina NIS non sono previsti gettoni di presenza, compensi, rimborsi di spese o altri emolumenti, comunque denominati.

L'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e il Ministero della difesa sono individuati quali Autorita' nazionali di gestione delle crisi informatiche, ciascuno per gli ambiti di competenza di cui all'articolo 2, comma 1, lettera g).

Le Autorita' nazionali di gestione delle crisi informatiche individuano le capacita', le risorse e le procedure che possono essere impiegate in caso di crisi ai fini del presente decreto.

Entro dodici mesi dalla data di entrata in vigore del presente decreto, con uno o piu' decreti del Presidente del Consiglio dei ministri, su proposta dell'Agenzia per la cybersicurezza nazionale e del Ministero della difesa, ciascuno per gli ambiti di competenza di cui all'articolo 2, comma 1, lettera g), previo parere del Comitato interministeriale per la sicurezza della Repubblica nella composizione di cui all'articolo 10 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, e' definito il piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala. Il piano di cui al primo periodo e' aggiornato periodicamente e, comunque, ogni tre anni.

I decreti del Presidente del Consiglio dei ministri di cui al presente articolo sono esclusi dall'accesso e non sono soggetti a pubblicazione.

Ai fini dell'attuazione del comma 1 del presente articolo e' autorizzata la spesa pari a euro 1.000.000 annui a decorrere dall'anno 2025, a cui si provvede ai sensi dell'articolo 44.

Cooperazione tra Autorita' nazionali

Sono assicurate la cooperazione e la collaborazione reciproca dell'Autorita' nazionale competente NIS e del Punto di contatto unico NIS con l'organo centrale del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorita' di contrasto), con il Garante per la protezione dei dati personali quale autorita' di controllo di cui all'articolo 55 o 56 del regolamento (UE) 2016/679, con l'Ente nazionale per l'aviazione civile (ENAC) quale autorita' nazionale ai sensi dei regolamenti (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell'11 marzo 2008, e (UE) 2018/1139, del Parlamento europeo e del Consiglio, del 4 luglio 2018, con l'Agenzia per l'Italia digitale (AgID) quale organismo di vigilanza ai sensi del regolamento (UE) n. 910/2014, con l'Autorita' per le garanzie nelle comunicazioni quale autorita' nazionale di regolamentazione ai sensi della direttiva (UE) 2018/1972, con il Ministero della difesa, quale responsabile in materia di difesa dello Stato, nonche' con altre autorita' nazionali competenti anche ai sensi di altri atti giuridici settoriali dell'Unione europea, ivi incluso lo scambio periodico di informazioni pertinenti, anche per quanto riguarda gli incidenti e le minacce informatiche rilevanti.

La cooperazione e la collaborazione reciproca dell'Autorita' nazionale competente NIS con le autorita' nazionali competenti di cui al regolamento (UE) 2022/2554 e' assicurata con gli strumenti di cui al medesimo regolamento (UE) 2022/2554 e alla disciplina nazionale di attuazione, in relazione, tra l'altro, allo scambio periodico di informazioni pertinenti, anche per quanto riguarda gli incidenti e le minacce informatiche rilevanti.

L'Autorita' nazionale competente NIS coopera con le pertinenti autorita' nazionali competenti degli altri Stati membri, di cui al regolamento (UE) 2022/2554. In particolare, l'Autorita' nazionale competente NIS informa il forum di sorveglianza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercita i propri poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi previsti dal presente decreto da parte di un soggetto essenziale o importante designato come fornitore terzo critico di servizi di TIC ai sensi dell'articolo 31 del regolamento (UE) 2022/2554.

E' assicurata la cooperazione e la collaborazione reciproca dell'Autorita' nazionale competente NIS e del Punto di contatto unico NIS, secondo le modalita' di cui all'articolo 40, comma 3, con le autorita' nazionali competenti e il punto di contatto unico ai sensi della direttiva (UE) 2022/2557, anche attraverso lo scambio periodico di informazioni riguardo all'identificazione di soggetti critici, sui rischi, sulle minacce e sugli incidenti sia informatici che non informatici che interessano i soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557, e sulle misure adottate in risposta a tali rischi, minacce e incidenti.

Gruppo nazionale di risposta agli incidenti di sicurezza informatica - CSIRT Italia

Il CSIRT Italia applica un approccio basato sul rischio per stabilire l'ordine di priorita' nello svolgimento dei compiti di cui al comma 3.

In caso di eventi malevoli per la sicurezza informatica, le strutture pubbliche con funzione di computer emergency response team (CERT) collaborano con il CSIRT Italia, anche ai fini di un piu' efficace coordinamento della risposta agli incidenti.

Il CSIRT Italia instaura rapporti di cooperazione con i pertinenti portatori di interesse nazionali del settore privato al fine di perseguire gli obiettivi del presente decreto in relazione alle proprie competenze.

Ai fini dell'attuazione del presente articolo e' autorizzata la spesa pari a euro 2.000.000 annui a decorrere dall'anno 2025, a cui si provvede ai sensi dell'articolo 44.

Divulgazione coordinata delle vulnerabilita'

Il CSIRT Italia e' designato coordinatore ai fini della divulgazione coordinata delle vulnerabilita' ai sensi dell'articolo 12 della direttiva (UE) 2022/2555 e agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona fisica o giuridica che segnala la vulnerabilita' e il fabbricante o fornitore di servizi TIC o prodotti TIC potenzialmente vulnerabili, su richiesta di una delle parti.

Le persone fisiche o giuridiche possono segnalare in forma anonima, qualora lo richiedano, una vulnerabilita' al CSIRT Italia.
Quest'ultimo, in veste di coordinatore, garantisce lo svolgimento di diligenti azioni per dare seguito alla segnalazione di vulnerabilita' e assicura l'anonimato della persona fisica o giuridica segnalante.
Se la vulnerabilita' segnalata e' suscettibile di avere un impatto significativo su soggetti in piu' di uno Stato membro, il CSIRT Italia coopera, ove opportuno, con altri CSIRT designati in qualita' di coordinatori nell'ambito della Rete di CSIRT nazionali di cui all'articolo 20.

L'Autorita' nazionale competente NIS adotta, secondo le modalita' di cui all'articolo 40, comma 5, una politica nazionale di divulgazione coordinata delle vulnerabilita' in linea con le previsioni del presente decreto e tenuto conto degli orientamenti non vincolanti del Gruppo di cooperazione NIS. L'Agenzia per la cybersicurezza nazionale implementa mezzi tecnici per agevolare l'attuazione della politica nazionale di divulgazione coordinata delle vulnerabilita'.

Lo scambio di informazioni di cui al comma 1 avviene nell'ambito di comunita' di soggetti essenziali e di soggetti importanti e, se opportuno, nell'ambito dei loro fornitori o fornitori di servizi.
Tale scambio e' attuato mediante accordi di condivisione delle informazioni sulla sicurezza informatica che tengono conto della natura potenzialmente sensibile delle informazioni condivise.

L'Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorita' nazionale competente NIS e di CSIRT Italia, ove possibile, tenuto conto degli orientamenti e delle migliori pratiche non vincolanti elaborati dall'ENISA, favorisce la conclusione degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 e puo' specificare gli elementi operativi, compreso l'uso di piattaforme TIC dedicate e di strumenti di automazione, i contenuti e le condizioni degli accordi di condivisione delle informazioni. Nello stabilire i dettagli relativi alla partecipazione delle autorita' pubbliche a tali accordi, l'Autorita' nazionale competente NIS puo' imporre condizioni, secondo le modalita' di cui all'articolo 40, comma 5, alinea, per le informazioni messe a disposizione dalle autorita' competenti e dal CSIRT Italia. L'Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorita' nazionale competente NIS e di CSIRT Italia, supporta i soggetti essenziali e i soggetti importanti per l'applicazione di tali accordi conformemente alle loro misure strategiche di cui all'articolo 9, comma 3, lettera h).

I soggetti essenziali e i soggetti importanti notificano all'Autorita' nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica di cui al comma 2 al momento della conclusione di tali accordi o, ove applicabile, del loro ritiro da tali accordi, una volta che questo e' divenuto effettivo.

E' assicurato l'accesso degli Organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge n. 124 del 2007 alle informazioni riguardanti l'elenco dei soggetti essenziali e dei soggetti importanti, tramite la piattaforma digitale di cui all'articolo 7, le notifiche di cui agli articoli 25 e 26, le vulnerabilita' rilevate nell'applicazione del presente decreto, e le ulteriori informazioni rispetto a quelle di cui al presente comma che dovessero essere ritenute utili, relative alle attivita' di cui al presente decreto, previe intese tra i predetti Organismi e l'Agenzia per la cybersicurezza nazionale.

L'Autorita' nazionale competente NIS partecipa al Gruppo di cooperazione NIS.

Le Autorita' di settore NIS partecipano, su richiesta dell'Autorita' nazionale competente NIS, alle iniziative del Gruppo di cooperazione NIS relative al proprio settore di interesse.

L'Autorita' nazionale di gestione delle crisi informatiche partecipa alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe).

L'Autorita' nazionale di gestione delle crisi informatiche, ai sensi del comma 2, lettera e), puo' richiedere di discutere il piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala di cui all'articolo 13, comma 3.

Il CSIRT Italia partecipa alla Rete di CSIRT nazionali.

La condivisione delle informazioni ai sensi del presente articolo e' effettuata nel rispetto della legislazione nazionale o dell'Unione europea in materia di tutela delle informazioni protette da classifica di segretezza e di salvaguardia delle funzioni essenziali dello Stato, ivi inclusa la sicurezza nazionale.

Successivamente alla data di entrata in vigore del presente decreto, la Presidenza del Consiglio dei ministri notifica tempestivamente alla Commissione europea la conferma dell'Agenzia per la cybersicurezza nazionale quale Autorita' nazionale competente NIS e quale Punto di contatto unico NIS, nonche' la designazione dell'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2, della direttiva (UE) 2022/2555, e del Ministero della difesa, quali Autorita' nazionali di gestione delle crisi informatiche, e i relativi ambiti di competenza come indicati all'articolo 2, comma 1, lettera g).
Successivamente, ogni ulteriore modifica a tali designazioni o compiti e' notificata, senza ingiustificato ritardo, alla Commissione europea. Alle designazioni sono assicurate idonee forme di pubblicita'.

L'Autorita' nazionale di gestione delle crisi informatiche comunica entro tre mesi dall'adozione o dall'aggiornamento del piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala di cui all'articolo 13, comma 3, alla Commissione europea e alla Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) le informazioni pertinenti relative ai requisiti di cui all'articolo 13, comma 4, in merito al proprio piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala, fatto salvo quanto previsto dall'articolo 4, commi 1, 7 e 8.

Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26.

Nel valutare quali misure di cui al comma 2, lettera d), siano adeguate, i soggetti tengono conto delle vulnerabilita' specifiche per ogni diretto fornitore e fornitore di servizi e della qualita' complessiva dei prodotti e delle pratiche di sicurezza informatica dei propri fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Per la medesima finalita' i soggetti tengono altresi' conto dei risultati delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche effettuate dal Gruppo di cooperazione NIS.

Qualora un soggetto rilevi di non essere conforme alle misure di cui al comma 2, esso adotta, senza indebito ritardo, tutte le misure appropriate e proporzionate correttive necessarie.

I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che, ai sensi del comma 4, ha un impatto significativo sulla fornitura dei loro servizi, secondo le modalita' e i termini di cui agli articoli 30, 31 e 32.

Le notifiche includono le informazioni che consentono al CSIRT Italia di determinare un eventuale impatto transfrontaliero dell'incidente.

La notifica non espone il soggetto che la effettua a una maggiore responsabilita' rispetto a quella derivante dall'incidente.

In deroga a quanto previsto dal comma 5, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari, provvede alla notifica di cui alla medesima lettera, senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo.

Fermo restando quanto previsto dall'articolo 15, comma 4, senza ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento della pre-notifica di cui al comma 5, lettera a), il CSIRT Italia fornisce una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull'incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull'attuazione di possibili misure tecniche di mitigazione. Su richiesta del soggetto notificante, il CSIRT Italia fornisce ulteriore supporto tecnico.

Qualora si sospetti che l'incidente significativo abbia carattere criminale, il CSIRT Italia fornisce al soggetto notificante anche orientamenti sulla segnalazione dell'incidente significativo, all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarita' dei servizi di telecomunicazione, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorita' di contrasto).

Sentito il CSIRT Italia, se ritenuto opportuno e qualora possibile, i soggetti essenziali e i soggetti importanti comunicano, senza ingiustificato ritardo, ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi.

I soggetti essenziali e i soggetti importanti, se ritenuto opportuno e qualora possibile, sentito il CSIRT Italia, comunicano senza ingiustificato ritardo, ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa, misure o azioni correttive o di mitigazione che tali destinatari possono adottare in risposta a tale minaccia. Inoltre, sentito il CSIRT Italia, se ritenuto opportuno, i soggetti essenziali e i soggetti importanti comunicano ai medesimi destinatari anche la natura di tale minaccia informatica significativa.

L'Agenzia per la cybersicurezza nazionale, nello svolgimento delle funzioni di Autorita' nazionale competente NIS e di CSIRT Italia, anche sentendo, se del caso, le autorita' competenti e gli CSIRT nazionali degli altri Stati membri interessati, puo' informare il pubblico riguardo all'incidente significativo per evitare ulteriori incidenti significativi o per gestire un incidente significativo in corso, o qualora ritenga che la divulgazione dell'incidente significativo sia altrimenti nell'interesse pubblico.

L'Agenzia per la cybersicurezza nazionale adotta mezzi tecnici e relative procedure per semplificare le notifiche di cui al presente articolo e le notifiche volontarie di cui all'articolo 26, informando i soggetti essenziali e i soggetti importanti.

Fatte salve le esigenze di indagine, accertamento e perseguimento di reati, la notifica volontaria di cui al comma 1 non puo' avere l'effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica.

Al fine di dimostrare il rispetto di determinati obblighi di cui all'articolo 24, l'Autorita' nazionale competente NIS, secondo le modalita' di cui all'articolo 40, comma 5, puo' imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, di cui, rispettivamente, all'articolo 2, comma 1, lettere ff), gg) e hh), sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell'ambito dei sistemi europei di certificazione della cybersicurezza di cui all'articolo 49 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019.
L'Autorita' nazionale competente NIS promuove, altresi', l'utilizzo di servizi fiduciari qualificati da parte dei soggetti essenziali e dei soggetti importanti.

Nelle more dell'adozione di pertinenti sistemi europei di certificazione della cybersicurezza di cui all'articolo 49 del regolamento (UE) 2019/881, l'Autorita' nazionale competente NIS, secondo le modalita' di cui all'articolo 40, comma 5, puo' imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell'ambito di schemi di certificazione riconosciuti a livello nazionale o europeo.

Per favorire l'attuazione efficace e armonizzata dell'articolo 24, commi 1 e 2, l'Autorita' nazionale competente NIS, senza imposizioni o discriminazioni a favore dell'uso di un particolare tipo di tecnologia, promuove l'uso di specifiche tecniche europee e internazionali, anche adottate da un organismo di normazione riconosciuto di cui al regolamento (UE) 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, relative alla sicurezza dei sistemi informativi e di rete.

Ai fini del comma 1, l'Autorita' nazionale competente NIS tiene conto delle linee guida e degli orientamenti non vincolanti elaborati dall'ENISA ai sensi dell'articolo 25, paragrafo 2, della direttiva (UE) 2022/2555 e puo' redigere e aggiornare periodicamente un elenco delle categorie di tecnologie piu' idonee ad assicurare l'effettiva attivazione delle misure di gestione dei rischi per la sicurezza informatica.

L'elenco di cui al comma 2 non ha carattere vincolante o esaustivo ed e' pubblicato sul sito dell'Agenzia per la cybersicurezza nazionale al fine di fornire un orientamento sulle specifiche tecniche, di cui al comma 1, e sulle norme di settore nazionali ed europee applicabili alle tipologie di soggetti di cui agli allegati I, II, III e IV al presente decreto.

Per contribuire alla sicurezza, alla stabilita' e alla resilienza dei sistemi di nomi di dominio, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio raccolgono e mantengono dati di registrazione dei nomi di dominio accurati e completi in un'apposita banca dati con la dovuta diligenza, conformemente al diritto dell'Unione europea in materia di protezione dei dati personali.

I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio predispongono e rendono pubbliche politiche e procedure, incluse le procedure di verifica, al fine di garantire che le banche dati di cui al comma 1 contengano informazioni accurate e complete.

I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio per i domini di primo livello rendono pubblicamente disponibili, senza ingiustificato ritardo dopo la registrazione di un nome di dominio, i dati di registrazione dei nomi di dominio che non sono dati personali.

I gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio, su richiesta motivata dei soggetti legittimati, forniscono l'accesso a specifici dati di registrazione dei nomi di dominio, nel rispetto del diritto dell'Unione europea in materia di protezione dei dati. I soggetti che gestiscono i registri dei nomi di dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio rispondono senza ingiustificato ritardo e, comunque, entro 72 ore dalla ricezione della richiesta di accesso. Tale risposta reca gli specifici dati di registrazione dei nomi di dominio richiesti, ovvero le motivazioni per cui la richiesta non e' stata ritenuta legittima o debitamente motivata. Le politiche e le procedure relative alla divulgazione di tali dati hanno evidenza pubblica.

Ai fini del comma 5, l'Agenzia per la cybersicurezza nazionale puo' richiedere l'accesso ai dati di registrazione dei nomi di dominio e puo' stipulare appositi protocolli con i gestori di registri dei nomi di dominio di primo livello e i fornitori di registrazione dei nomi di dominio.

Al fine di evitare una duplicazione della raccolta di dati di registrazione dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi di dominio individuano modalita' e procedure di collaborazione per la raccolta e il mantenimento dei dati di cui al comma 1.

Elencazione, caratterizzazione e categorizzazione delle attivita' e dei servizi

Ai fini di cui all'articolo 24, comma 1, dal 1° maggio al 30 giugno di ogni anno a partire dalla ricezione della prima comunicazione di cui all'articolo 7, comma 3, lettera a), i soggetti essenziali e i soggetti importanti comunicano e aggiornano, tramite la piattaforma digitale di cui all'articolo 7, comma 1, un elenco delle proprie attivita' e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.

L'Autorita' nazionale competente NIS stabilisce, secondo le modalita' di cui all'articolo 40, comma 5, anche tenuto conto di quanto previsto dall'articolo 25, comma 1, le categorie di rilevanza nonche' il processo, le modalita' e i criteri per l'elencazione, caratterizzazione e categorizzazione delle attivita' e dei servizi di cui al presente articolo.

Entro novanta giorni dalla comunicazione tramite la piattaforma digitale di cui al comma 1, l'Autorita' nazionale competente NIS fornisce riscontro ai soggetti essenziali e ai soggetti importanti circa la conformita' di quanto comunicato rispetto alle modalita' e ai criteri di cui al comma 2. Il predetto termine puo' essere prorogato dall'Autorita' nazionale competente NIS, per una sola volta e fino ad un massimo di ulteriori sessanta giorni, qualora sia necessario svolgere approfondimenti. Ove si renda necessario richiedere integrazioni e informazioni aggiuntive ai soggetti essenziali o importanti, i termini di cui al presente comma sono interrotti sino alla data di ricevimento delle predette integrazioni e informazioni, che sono rese entro il termine di trenta giorni dalla richiesta.

In assenza del riscontro di cui al comma 3 da parte dall'Autorita' nazionale competente NIS entro i termini di cui al medesimo comma, la conformita' di cui al comma 3 si intende convalidata.

Ai fini del presente articolo, l'Autorita' nazionale competente NIS puo' avvalersi dei tavoli settoriali di cui all'articolo 11, comma 4, lettera f).

Proporzionalita' e gradualita' degli obblighi

Ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29 l'Autorita' nazionale competente NIS stabilisce obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilita' che si verifichino incidenti, nonche' della loro gravita', compreso il loro impatto sociale ed economico.

L'Autorita' nazionale competente NIS individua, se del caso, le fattispecie che determinano la sospensione dei termini di cui al comma 2.

L'Autorita' nazionale competente NIS puo' emanare linee guida vincolanti per l'attuazione degli obblighi di cui al presente capo.

L'Autorita' nazionale competente NIS puo' emanare raccomandazioni per supportare i soggetti nell'implementazione degli obblighi di cui al presente capo.

Ai fini del presente articolo, l'Autorita' nazionale competente NIS puo' avvalersi dei tavoli settoriali di cui all'articolo 11, comma 4, lettera f).

Le comunicazioni e le interazioni dei soggetti con l'Autorita' nazionale competente NIS avvengono, in via prioritaria, per mezzo della piattaforma digitale di cui all'articolo 7, comma 1.

Fermo restando quanto previsto dagli articoli 23, 24, 25, 27, 28 e 29, tenuto conto degli impatti sociali e economici di un incidente significativo nella catena di approvvigionamento del settore della pubblica amministrazione, l'Autorita' nazionale competente NIS, secondo le modalita' di cui all'articolo 40, comma 5, puo' imporre specifici obblighi proporzionati e graduali ai soggetti essenziali e ai soggetti importanti che forniscono servizi, anche digitali, alla pubblica amministrazione.

Gli obblighi di cui agli articoli 24 e 25 non si applicano ai soggetti che erogano esclusivamente servizi di registrazione dei nomi di dominio. Tali soggetti assicurano un livello di sicurezza informatica coerente con gli obblighi di cui agli articoli 24 e 25.

La designazione o la mancata designazione del rappresentante di cui all'articolo 5, comma 3, non pregiudica l'applicabilita' degli obblighi di cui al presente capo.

Principi generali per lo svolgimento delle attivita' di vigilanza ed esecuzione

L'Autorita' nazionale competente NIS puo' conferire priorita' alle attivita' di cui al presente capo adottando un approccio basato sul rischio.

L'Autorita' nazionale competente NIS provvede affinche' le attivita' di vigilanza imposte ai soggetti per quanto riguarda gli obblighi di cui al presente decreto siano effettive, proporzionate e dissuasive, tenuto conto di ciascuna fattispecie e dei criteri di cui all'articolo 31.

L'Autorita' nazionale competente NIS vigila sul rispetto, da parte degli enti della pubblica amministrazione, del presente decreto, con indipendenza operativa rispetto agli enti della pubblica amministrazione sottoposti a vigilanza.

L'Autorita' nazionale competente NIS espone nei particolari la motivazione per l'adozione dei provvedimenti per lo svolgimento delle attivita' e l'esercizio dei poteri di cui al presente capo.

Gli audit sulla sicurezza, periodici e mirati, nonche' le scansioni di sicurezza di cui agli articoli 35 e 37, sono svolti da organismi indipendenti e si basano su valutazioni del rischio effettuate dall'Autorita' nazionale competente NIS o dal soggetto sottoposto ad audit o su altre informazioni disponibili in relazione ai rischi. L'Autorita' nazionale competente NIS puo' richiedere, anche solo in parte, di acquisire gli esiti di tali audit sulla sicurezza e di tali scansioni di sicurezza. I costi di tali audit sulla sicurezza e di tali scansioni di sicurezza sono a carico del soggetto sottoposto ad audit, salvo in casi debitamente giustificati in cui l'Autorita' nazionale competente NIS decida altrimenti, in linea con il piano di risposta agli incidenti e alle crisi informatiche su vasta scala di cui all'articolo 13, comma 3.

La designazione o la mancata designazione del rappresentante di cui all'articolo 5, comma 3, non pregiudica lo svolgimento delle attivita' e l'esercizio dei poteri di cui al presente capo.

Le comunicazioni e le interazioni dei soggetti con l'Autorita' nazionale competente NIS avvengono, in via prioritaria, per mezzo della piattaforma digitale di cui all'articolo 7, comma 1.

Con decreto del Presidente del Consiglio dei ministri, da adottare secondo le modalita' di cui all'articolo 40, comma 1, sono stabiliti i criteri, le procedure e le modalita' per lo svolgimento delle attivita', l'esercizio dei poteri e l'adozione dei provvedimenti di cui al presente capo.

Ai fini dell'articolo 7, l'Autorita' nazionale competente NIS verifica e fornisce riscontro circa le informazioni trasmesse e la relativa corrispondenza ai requisiti prescritti per i soggetti registrati, ai fini dell'inserimento nell'elenco di cui all'articolo 7, comma 2, assicurando altresi' adeguata pubblicita' ai criteri concernenti l'ambito di applicazione del presente decreto e dei relativi obblighi.

L'Autorita' nazionale competente NIS monitora l'attuazione degli obblighi di cui al presente decreto da parte dei soggetti che rientrano nell'ambito di applicazione di cui all'articolo 3, implementando, altresi', interventi di supporto per i soggetti medesimi.

Ai fini del comma 2, l'Autorita' nazionale competente NIS indica modalita' e termini ragionevoli e proporzionati per adempiere, nonche' per riferire circa lo stato di attuazione degli adempimenti.

L'Autorita' nazionale competente NIS analizza le risultanze delle attivita' di cui al presente capo al fine di stabilire l'ordine di priorita' degli interventi di supporto di cui al comma 2 nonche' di individuare gli indirizzi di sviluppo della regolamentazione di cui all'articolo 31.

L'Autorita' nazionale competente NIS implementa gli interventi di supporto di cui al comma 2 qualora cio' non costituisca un onere sproporzionato o eccessivo.

L'Autorita' nazionale competente NIS, nello svolgimento delle attivita' di cui al presente capo, si puo' avvalere dei tavoli settoriali di cui all'articolo 11, comma 4, lettera f).

Nei confronti dei soggetti importanti, i poteri di verifica e ispettivi si applicano unicamente qualora l'Autorita' nazionale competente NIS acquisisca o riceva elementi di prova, indicazioni o informazioni che suggeriscano possibili violazioni del presente decreto.

L'Autorita' nazionale competente NIS, ai fini dell'esercizio dei suoi poteri di esecuzione, tiene anche conto degli esiti delle attivita' di monitoraggio, analisi e supporto di cui all'articolo 35 e delle risultanze dell'esercizio dei poteri di verifica e ispettivi di cui all'articolo 36.

L'Agenzia per la cybersicurezza nazionale, nell'esercizio dei suoi poteri di esecuzione quale Autorita' nazionale competente NIS, puo' intimare l'osservanza di istruzioni vincolanti per evitare il verificarsi di un incidente o per porvi rimedio.

L'Autorita' nazionale competente NIS puo' designare un proprio funzionario per supportare il soggetto interessato ai fini dell'adempimento degli obblighi di cui al presente decreto, con compiti ben definiti nell'arco di un periodo di tempo determinato, anche tramite visite in loco e a distanza. Il soggetto interessato assicura la piena collaborazione con il funzionario designato.

Qualora il soggetto interessato non adempia alle disposizioni di cui ai commi 2, 3, 4 e 5, secondo periodo, l'Autorita' nazionale competente NIS diffida il soggetto ad adempiere a tali disposizioni.

Ai fini dei commi 2, 3, 4 e 6, l'Autorita' nazionale competente NIS indica modalita' e termini ragionevoli e proporzionati per adempiere nonche' per riferire circa lo stato di attuazione degli adempimenti.

Prima di adottare provvedimenti di cui ai commi 3 e 6, l'Autorita' nazionale competente NIS notifica ai soggetti interessati le conclusioni preliminari, concedendo a questi ultimi un termine ragionevole, comunque non inferiore a quindici giorni, per presentare osservazioni.

Il comma 8 non trova applicazione nei casi in cui la notifica delle conclusioni preliminari non consenta azioni immediate per prevenire un incidente o rispondervi. In tali casi l'Autorita' nazionale competente NIS motiva l'omissione della notifica di cui al comma 8.

Nei casi di adozione da parte dell'Autorita' nazionale competente NIS di piu' provvedimenti successivi riconducibili alla medesima fattispecie, il comma 8 si applica esclusivamente al primo di questi provvedimenti.

L'Autorita' nazionale competente NIS, ai fini dell'esercizio dei suoi poteri sanzionatori, tiene anche conto degli esiti delle attivita' di monitoraggio, supporto e analisi di cui all'articolo 35, delle risultanze dell'esercizio dei poteri di verifica e ispettivi di cui all'articolo 36, nonche' dell'esercizio dei poteri di esecuzione di cui all'articolo 37.

Fermi restando i criteri di cui all'articolo 34, comma 6, l'Agenzia per la cybersicurezza nazionale con una o piu' determinazioni, adottate secondo le modalita' dell'articolo 40, comma 5, puo' specificare laddove necessario i criteri per la determinazione dell'importo delle sanzioni per le violazioni di cui ai commi 8 e 10 del presente articolo, adottando tutte le misure necessarie per assicurarne l'effettivita', la proporzionalita', la dissuasivita' e l'applicazione.

L'esercizio dei poteri di cui all'articolo 37 non impedisce la contestazione delle violazioni di cui ai commi 8 e 10 del presente articolo, nonche' la relativa irrogazione di sanzioni amministrative di cui al presente articolo.

Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all'articolo 37, commi 6 e 7, l'Autorita' nazionale competente NIS puo' sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, ai sensi della normativa vigente, di sospendere temporaneamente un certificato o un'autorizzazione relativi a una parte o alla totalita' dei servizi o delle attivita' pertinenti svolti dal soggetto essenziale. Tale sospensione temporanea e' applicata finche' il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all'articolo 37, commi 6 e 7. Le disposizioni di cui al presente comma non si applicano alle pubbliche amministrazioni di cui all'allegato III, nonche' ai soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalita' di cui all'articolo 40, comma 4.

Qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualita' di suo rappresentante legale con l'autorita' di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell'inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza.

Qualora il soggetto non adempia nei termini stabiliti dalla diffida di cui all'articolo 37, commi 6 e 7, l'Autorita' nazionale competente NIS puo' disporre nei confronti delle persone fisiche di cui al comma 5 del presente articolo, ivi inclusi gli organi di amministrazione e gli organi direttivi di cui all'articolo 23 dei soggetti essenziali e dei soggetti importanti, nonche' di quelle che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale di un soggetto essenziale o importante, l'applicazione della sanzione amministrativa accessoria della incapacita' a svolgere funzioni dirigenziali all'interno del medesimo soggetto. Tale sospensione temporanea e' applicata finche' il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide di cui all'articolo 37, commi 6 e 7.

Ai dipendenti pubblici che esercitano i poteri di cui al comma 5, si applicano le norme in materia di responsabilita' dei dipendenti pubblici e dei funzionari eletti o nominati. In particolare, la violazione degli obblighi di cui al presente decreto puo' costituire causa di responsabilita' dirigenziale, disciplinare e amministrativo-contabile.

Si ha reiterazione delle violazioni di cui al presente articolo nei casi regolati dall'articolo 8-bis della legge 24 novembre del 1981, n. 689. Nei casi di reiterazione specifica, la sanzione prevista per la violazione e' aumentata fino al doppio. Nei casi di reiterazione non specifica si applica la sanzione prevista per la violazione piu' grave aumentata fino al triplo.

In caso di mancata o tardiva registrazione di cui all'articolo 7, sono comunque contestate tutte le violazioni previste dai commi 8 e 10 del presente articolo, e si applica la sanzione prevista per la violazione piu' grave aumentata fino al triplo.

In caso di mancata osservanza degli obblighi relativi alla notifica di incidente di cui all'articolo 25, da parte delle pubbliche amministrazioni di cui all'allegato III, nonche' dei soggetti rientranti fra le tipologie di cui all'allegato IV, punto 1, partecipati o sottoposti a controllo pubblico, e punto 4, laddove individuati secondo le modalita' di cui all'articolo 40, comma 4, le disposizioni di cui al comma 9 del presente articolo si applicano solo in caso di reiterazione specifica nell'arco di cinque anni e l'Autorita' nazionale competente NIS puo' esercitare, durante i dodici mesi successivi all'accertamento della violazione, i poteri di verifica e ispettivi di cui all'articolo 36.

I proventi delle sanzioni amministrative pecuniarie irrogate dall'Autorita' nazionale competente NIS ai sensi di quanto previsto dal presente decreto sono versati all'entrata del bilancio dello Stato per essere riassegnati all'apposito capitolo dello stato di previsione della spesa del Ministero dell'economia e delle finanze, di cui all'articolo 18 del decreto legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, per incrementare la dotazione del bilancio dell'Agenzia per la cybersicurezza nazionale.

L'assistenza reciproca di cui al comma 2, lettera c), puo' riguardare richieste di informazioni e attivita' ispettive, comprese le richieste di effettuare ispezioni in loco o a distanza o audit sulla sicurezza mirati.

Ai fini del comma 4, prima di respingere una richiesta, l'Autorita' nazionale competente NIS consulta le autorita' competenti degli Stati membri interessati. Su richiesta di uno degli Stati membri interessati, l'Autorita' nazionale competente NIS consulta anche la Commissione europea e l'ENISA.

Se opportuno e di comune accordo, l'Autorita' nazionale competente NIS e le autorita' competenti di altri Stati membri possono svolgere attivita' ispettive e di esecuzione comuni.

Con uno o piu' decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza nazionale, d'intesa con le Amministrazioni interessate, sentito il Tavolo per l'attuazione della disciplina NIS, previo parere del Comitato interministeriale per la cybersicurezza, sono stabilite, ove necessario, le modalita' di raccordo e collaborazione di cui all'articolo 14.

Entro diciotto mesi dalla data di entrata in vigore del presente decreto, sono adottate le determinazioni dell'Agenzia per la cybersicurezza nazionale di cui al comma 5, lettera i).

I decreti del Presidente del Consiglio dei ministri di cui al presente articolo sono aggiornati periodicamente e, comunque, ogni tre anni.

Le determinazioni dell'Agenzia per la cybersicurezza nazionale di cui al presente articolo sono aggiornate periodicamente e, comunque, ogni due anni.

Le disposizioni di cui al presente decreto si applicano a decorrere dal 18 ottobre 2024.

A decorrere dal 18 ottobre 2024 il decreto legislativo 18 maggio 2018, n. 65, e' abrogato, a esclusione dell'articolo 7, comma 8, e dell'articolo 8, comma 10, che sono abrogati dal 1° gennaio 2025. I capi IV e V del medesimo decreto legislativo n. 65 del 2018 continuano a trovare applicazione nei confronti dei soli soggetti di cui all'articolo 3, comma 9, lettera a), fino alla data di adozione dei provvedimenti attuativi di cui all'articolo 40, commi 1, 2, 3, 4 e 5, lettere a), b), e) e f).

I provvedimenti attuativi degli articoli 40 e 41 del codice di cui al decreto legislativo n. 259 del 2003 continuano a trovare applicazione, per quanto non in contrasto con la legge e con le disposizioni del presente decreto, fino all'adozione delle determinazioni di cui all'articolo 40, comma 5, lettera l).

L'obbligo di cui all'articolo 30, comma 1, si applica a partire dal 1° gennaio 2026.

Ai sensi dell'articolo 7, comma 1, i soggetti essenziali e i soggetti importanti possono registrarsi a partire dalla data di pubblicazione della piattaforma di cui al medesimo comma.

Le spese ICT sostenute dalle pubbliche amministrazioni ai sensi degli articoli 10, 11, 13 e 15 del presente decreto e, piu' in generale le spese ICT sostenute per l'adeguamento dei sistemi informativi al presente decreto, sono coerenti con il Piano triennale per l'informatica nella pubblica amministrazione ai sensi dell'articolo 1, commi da 512 a 520, della legge 28 dicembre 2015, n. 208.

Salvo quanto previsto dal comma 2, dall'attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni competenti vi provvedono nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.