Articolo 14 – Cooperazione tra Autorità nazionali

Home » CAPO II – Quadronazionale di sicurezza informatica (art.9-17) » Articolo 14 – Cooperazione tra Autorità nazionali

Sintesi Articolo 14

Il decreto sancisce un obbligo di collaborazione e cooperazione. La collaborazione si intende reciproca tra L’Autorità competente NIS e il Punto di contatto unico NIS con altri organismi tra cui l’organo centrale del ministero della difesa, dell’interno per la sicurezza e per la irregolarità dei servizi di telecomunicazione, il garante per la protezione dei dati personali.
il Presidente del Consiglio può, su proposta e consultazione rispettivamente del Ministero della Difesa e l’Agenzia per la Cybersicurezza nazionale, emanare decreti con cui vengono enumerati i soggetti impattanti l’efficienza dello strumento militare e sulla difesa.
Il decreto supporta l’obbligo di scambio periodico di informazioni circa i soggetti critici, sui rischi nonchè sulle minacce e gli incidenti, informatici e non.

  1. Sono assicurate la cooperazione e la collaborazione reciproca dell’Autorità nazionale competente NIS e del Punto di contatto unico NIS con l’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, di cui all’articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorità di contrasto), con il Garante per la protezione dei dati personali quale autorità di controllo di cui all’articolo 55 o 56 del regolamento (UE) 2016/679, con l’Ente nazionale per l’aviazione civile (ENAC) quale autorità nazionale ai sensi dei regolamenti (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’11 marzo 2008, e (UE) 2018/1139, del Parlamento europeo e del Consiglio, del 4 luglio 2018, con l’Agenzia per l’Italia digitale (AgID) quale organismo di vigilanza ai sensi del regolamento (UE) n. 910/2014, con l’Autorità per le garanzie nelle comunicazioni quale autorità nazionale di regolamentazione ai sensi della direttiva (UE) 2018/1972, con il Ministero della difesa, quale responsabile in materia di difesa dello Stato, nonché con altre autorità nazionali competenti anche ai sensi di altri atti giuridici settoriali dell’Unione europea, ivi incluso lo scambio periodico di informazioni pertinenti, anche per quanto riguarda gli incidenti e le minacce informatiche rilevanti.

  2. Ai fini della cooperazione e della collaborazione di cui al comma 1:

    a) l’Autorità nazionale competente NIS coopera con il Garante per la protezione dei dati personali, ai sensi dell’articolo 7, comma 5, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, nei casi di incidenti che comportano violazioni di dati personali, ai sensi del regolamento (UE) 2016/679, senza pregiudicare la competenza e i compiti di controllo di cui al citato regolamento;

    b) qualora l’Autorità nazionale competente NIS, in sede di vigilanza o di esecuzione, venga a conoscenza del fatto che la violazione degli obblighi di cui all’articolo 24 da parte di un soggetto essenziale o importante possa comportare una violazione dei dati personali, quale definita all’articolo 4, punto 12), del regolamento (UE) 2016/679, che deve essere notificata ai sensi dell’articolo 33 del medesimo regolamento, ne informa senza indebito ritardo il Garante per la protezione dei dati personali ai sensi dell’articolo 55 o 56 di tale regolamento;

    c) qualora il Garante per la protezione dei dati personali o le autorità di controllo di altri Stati membri di cui all’articolo 55 o 56 del regolamento (UE) 2016/679 impongano una sanzione amministrativa pecuniaria ai sensi dell’articolo 58, paragrafo 2, lettera i), del medesimo regolamento, l’Autorità nazionale competente NIS non procede all’irrogazione delle sanzioni amministrative pecuniarie ai sensi dell’articolo 38 per una violazione di cui alla lettera b) del presente comma, imputabile al medesimo comportamento. L’Autorità nazionale competente NIS può tuttavia esercitare i poteri di esecuzione di cui all’articolo 37;

    d) con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della difesa, sentita l’Agenzia per la cybersicurezza nazionale, è definito, nell’ambito dell’elenco di cui all’articolo 7, comma 2, l’elenco dei soggetti che impattano sulla efficienza dello Strumento militare e sulla tutela della difesa e sicurezza militare dello Stato, su cui l’Autorità nazionale competente NIS comunica tempestivamente al Ministero della difesa gli incidenti di cui all’articolo 25, nonché, con le modalità previste nel decreto di cui alla presente lettera, le ulteriori informazioni di sicurezza cibernetica.

  3. La cooperazione e la collaborazione reciproca dell’Autorità nazionale competente NIS con le autorità nazionali competenti di cui al regolamento (UE) 2022/2554 è assicurata con gli strumenti di cui al medesimo regolamento (UE) 2022/2554 e alla disciplina nazionale di attuazione, in relazione, tra l’altro, allo scambio periodico di informazioni pertinenti, anche per quanto riguarda gli incidenti e le minacce informatiche rilevanti.
  4. L’Autorità nazionale competente NIS coopera con le pertinenti autorità nazionali competenti degli altri Stati membri, di cui al regolamento (UE) 2022/2554. In particolare, l’Autorità nazionale competente NIS informa il forum di sorveglianza istituito ai sensi dell’articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercita i propri poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi previsti dal presente decreto da parte di un soggetto essenziale o importante designato come fornitore terzo critico di servizi di TIC ai sensi dell’articolo 31 del regolamento (UE) 2022/2554.
  5. È assicurata la cooperazione e la collaborazione reciproca dell’Autorità nazionale competente NIS e del Punto di contatto unico NIS, secondo le modalità di cui all’articolo 40, comma 3, con le autorità nazionali competenti e il punto di contatto unico ai sensi della direttiva (UE) 2022/2557, anche attraverso lo scambio periodico di informazioni riguardo all’identificazione di soggetti critici, sui rischi, sulle minacce e sugli incidenti sia informatici che non informatici che interessano i soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557, e sulle misure adottate in risposta a tali rischi, minacce e incidenti.

  6. Ai fini della cooperazione e della collaborazione di cui al comma 5:

    a) il punto di contatto unico e le autorità competenti di cui al decreto legislativo di recepimento della direttiva (UE) 2022/2557 comunicano tempestivamente all’Autorità nazionale competente NIS i soggetti identificati come soggetti critici ai sensi del medesimo decreto legislativo e i successivi aggiornamenti;

    b) le autorità nazionali competenti ai sensi del decreto legislativo di recepimento della direttiva (UE) 2022/2557 possono chiedere all’Autorità nazionale competente NIS di svolgere le attività ed esercitare i poteri di cui al capo V in relazione a un soggetto che è stato individuato come soggetto critico ai sensi del citato decreto legislativo.

Articolo precedente

Articolo successivo

Tutti gli articoli