Decreto legislativo sulla sicurezza delle reti e dei sistemi informativi nell’Unione

Si allega il decreto legislativo 18 maggio 2018, n. 65, “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, pubblicato nella Gazzetta Ufficiale n. 132 del 9 giugno 2018. Il decreto legislativo entra in vigore il 26 giugno 2018.

Il provvedimento definisce le regole per l’adozione di una strategia nazionale di sicurezza cibernetica che preveda misure per assicurare la continuità dei servizi essenziali nei settori dell’energia, dei trasporti, della salute, della finanza e del digitale (motori di ricerca, servizi cloud, piattaforme e-commerce), nonché la definizione di un piano di valutazione dei rischi e dei programmi di formazione e sensibilizzazione in materia di sicurezza informatica.

Il decreto legislativo, che stabilisce le misure per rafforzare il livello di sicurezza della rete e dei sistemi informativi in ambito nazionale, al fine garantire uniformità alla disciplina UE, prevede:

  • l’istituzione presso il Ministero dello sviluppo economico di un elenco nazionale degli operatori di servizi essenziali (articolo 4);
  • l’adozione da parte del Presidente del Consiglio dei Ministri della strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale (articolo 6);
  • la definizione delle Autorità nazionali competenti e punto di contatto unico: sono designati, quali “autorità competenti NIS”, cinque Ministeri (Sviluppo economico, Infrastrutture e trasporti, Economia, Salute e Ambiente), ciascuno responsabile per uno o più settori rientrati nelle proprie aree di competenza (articolo 7);
  • la designazione del Dipartimento delle informazioni per la sicurezza (DIS) quale punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi (articolo 7);
  • l’istituzione presso la Presidenza del Consiglio dei Ministri di un unico Computer Security Incident Response Team, detto CSIRT italiano, che andrà a sostituire, fondendoli, gli attuali CERT Nazionale, operante presso il Ministero dello Sviluppo Economico, e CERT-PA operante presso l’Agenzia per l’Italia Digitale (articolo 8).

Gli operatori di servizi essenziali dovranno inoltrare al CSIRT le notifiche di incidenti informatici con impatto rilevante sui servizi forniti.

In caso di inadempienze sono previste sanzioni amministrative, indicate all’articolo 21.