Articolo 18 – Gruppo di cooperazione NIS

Home » CAPO III – Cooperazione a livello dell’ Unione europea e internazionale (art. 18-22) » Articolo 18 – Gruppo di cooperazione NIS

Sintesi Articolo 18

Il decreto enuncia un obbligo di partecipazione al Gruppo di cooperazione NIS per l’Autorità competente NIS. L’Autorità nazionale competente NIS, con supporto delle Autorità di settore, provvede all’attuazione della direttiva NIS2, allo sviluppo ed attuazione di politiche in materia di divulgazione coordinata delle vulnerabilità, allo scambio di informazioni, prassi e migliori pratiche relative alla direttiva in materia di cybersicurezza, all’assistenza reciproca tra Stati membri. L’Autorità competente NIS contribuisce inoltre ad attività di valutazione coordinata dei rischi per la sicurezza, concorre alla definizione degli orientamenti strategici per EU-CyCLONe e rete CSIRT, nonchè al rafforzamento delle capacità di sicurezza informatica.

  1. L’Autorità nazionale competente NIS partecipa al Gruppo di cooperazione NIS.
  2. Le Autorità di settore NIS partecipano, su richiesta dell’Autorità nazionale competente NIS, alle iniziative del Gruppo di cooperazione NIS relative al proprio settore di interesse.

  3. Ai fini dei commi 1 e 2, l’Autorità nazionale competente NIS, supportata dalle Autorità di settore NIS interessate, provvede a:

    a) tenere conto degli orientamenti non vincolanti del Gruppo di cooperazione NIS in merito al recepimento e all’attuazione della direttiva (UE) 2022/2555;

    b) tenere conto degli orientamenti non vincolanti del Gruppo di cooperazione NIS in merito allo sviluppo e all’attuazione di politiche in materia di divulgazione coordinata delle vulnerabilità di cui all’articolo 16;

    c) scambiare migliori prassi e informazioni relative all’attuazione della direttiva (UE) 2022/2555, anche per quanto riguarda minacce informatiche, incidenti, vulnerabilità, quasi-incidenti, iniziative di sensibilizzazione, attività di formazione, esercitazioni e competenze, sviluppo di capacità, specifiche tecniche anche adottate da un organismo di normazione riconosciuto di cui al regolamento (UE) 1025/2012, nonché all’identificazione dei soggetti essenziali e dei soggetti importanti ai sensi del presente decreto;

    d) effettuare scambi di opinioni per quanto riguarda l’attuazione degli atti giuridici settoriali dell’Unione europea che contengono disposizioni in materia di sicurezza informatica;

    e) se del caso, discutere le relazioni sulle revisioni tra pari di cui all’articolo 21;

    f) richiedere, se del caso, una discussione sulle relazioni sulle revisioni tra pari di cui all’articolo 21 che coinvolgono l’Autorità nazionale competente NIS e l’elaborazione di conclusioni e di raccomandazioni a riguardo;

    g) discutere casi di assistenza reciproca, ivi incluse le esperienze e i risultati delle azioni di vigilanza comuni transfrontaliere di cui all’articolo 39;

    h) su richiesta di uno o più Stati membri, discutere le richieste specifiche di assistenza reciproca di cui all’articolo 39;

    i) richiedere, se opportuno, la discussione di richieste specifiche di assistenza reciproca di cui all’articolo 39 che coinvolgono l’Autorità nazionale competente NIS;

    l) scambiare opinioni su misure per mitigare la ricorrenza di incidenti e crisi di sicurezza informatica su vasta scala sulla base degli insegnamenti tratti da EU-CyCLONe e dalla Rete di CSIRT nazionali;

    m) partecipare, ove necessario, ai programmi di sviluppo delle capacità, anche prevedendo lo scambio di personale tre le Autorità nazionali e quelle di altri Stati membri;

    n) discutere le attività intraprese per quanto riguarda le esercitazioni in materia di sicurezza informatica, comprese le attività svolte dall’ENISA;

    o) partecipare alle riunioni congiunte con il gruppo per la resilienza dei soggetti critici istituito ai sensi della direttiva (UE) 2022/2557, volte a promuovere e ad agevolare la cooperazione strategica e lo scambio di informazioni nell’attuazione della direttiva medesima e della direttiva (UE) 2022/2555.

  4. Inoltre, ai fini dei commi 1 e 2, l’Autorità nazionale competente NIS, supportata dalle Autorità di settore NIS interessate, contribuisce:

    a) alla definizione degli orientamenti non vincolanti per le autorità competenti in merito al recepimento e all’attuazione della direttiva (UE) 2022/2555;

    b) alla definizione degli orientamenti non vincolanti del Gruppo di cooperazione NIS in merito allo sviluppo e all’attuazione di politiche in materia di divulgazione coordinata delle vulnerabilità di cui all’articolo 16;

    c) alla definizione di pareri non vincolanti e alla cooperazione con la Commissione europea per quanto riguarda le nuove iniziative strategiche in materia di sicurezza informatica e la coerenza dei requisiti settoriali di informatica;

    d) alla definizione di pareri non vincolanti e alla cooperazione con la Commissione europea per quanto riguarda i progetti di atti delegati o di esecuzione adottati ai sensi della direttiva (UE) 2022/2555;

    e) allo scambio delle migliori prassi e di informazioni con le istituzioni, gli organismi, gli uffici e le agenzie pertinenti dell’Unione europea;

    f) se del caso, all’elaborazione di conclusioni e di raccomandazioni circa le relazioni sulle revisioni tra pari di cui all’articolo 21;

    g) all’elaborazione delle valutazioni coordinate dei rischi per la sicurezza delle catene di approvvigionamento critiche conformemente all’articolo 22, paragrafo 1, della direttiva (UE) 2022/2555;

    h) alla definizione degli orientamenti strategici per EU-CyCLONe e per la Rete di CSIRT nazionali su specifiche questioni emergenti;

    i) al rafforzamento delle capacità di sicurezza informatica a livello dell’Unione europea;

    l) all’organizzazione di riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato dell’Unione europea per discutere le attività svolte dal Gruppo di cooperazione NIS e raccogliere contributi sulle sfide strategiche emergenti;

    m) alla definizione della metodologia e degli aspetti organizzativi delle revisioni tra pari di cui all’articolo 21 nonché della metodologia di autovalutazione per gli Stati membri e all’elaborazione dei codici di condotta su cui si basano i metodi di lavoro degli esperti di sicurezza informatica designati di cui al medesimo articolo;

    n) all’elaborazione delle relazioni, ai fini del riesame di cui all’articolo 40 della direttiva (UE) 2022/2555, sull’esperienza acquisita a livello strategico e dalle revisioni tra pari sull’attuazione della direttiva stessa;

    o) alla discussione e allo svolgimento periodico di valutazione dello stato di avanzamento delle minacce o degli incidenti informatici, ivi inclusi i ransomware;

    p) alla collaborazione con l’ENISA e con la Commissione europea per la pubblicazione della relazione biennale sullo stato della sicurezza informatica nell’Unione europea di cui all’articolo 18, paragrafo 1, della direttiva (UE) 2022/2555;

    q) alla collaborazione con l’ENISA, con la Commissione europea e con la Rete di CSIRT nazionali, per la definizione della metodologia di cui all’articolo 18, paragrafo 3, della direttiva (UE) 2022/2555, per l’elaborazione della relazione biennale sullo stato della sicurezza informatica nell’Unione europea.

Articolo precedente

Articolo successivo

Tutti gli articoli