Articolo 40 – Attuazione

Home » CAPO VI – Disposizioni finali e transitorie ( art. 40-44) » Articolo 40 – Attuazione

Sintesi Articolo 40

Il decreto di recepimento della direttiva NIS2 individua nei decreti del Presidente del Consiglio dei ministri, su proposta dell’Agenzia per la cybersicurezza nazionale (ACN), sentito il parere del Tavolo per l’attuazione della disciplina NIS, i mezzi normativi attraverso cui sono definiti i criteri per l’applicazione della clausola di salvaguardia, i criteri, le procedure e modalità di esercizio dei poteri esecutivi e di vigilanza, ed infine le modalità di applicazione degli strumenti deflattivi del contenzioso.
Inoltre, è ammesso lo strumento dei decreti del Presidente del Consiglio dei ministri per l’estensione dei criteri di identificazione dei soggetti sottoposti alla disciplina del presente testo, comprese ulteriori pubbliche amministrazioni, nonché delle modalità di raccordo e di collaborazione tra l’ACN e le Autorità di settore NIS. L’articolo prevede si riconosca all’ACN, una volta sentito il Tavolo per l’attuazione della disciplina NIS, il potere di stabilire con una o più determinazioni, ulteriori modalità per il funzionamento del Tavolo, condizioni di utilizzo di prodotti o processi TIC, nonché gli obblighi proporzionati e graduali aventi valenza multi settoriale o settoriale. Ancora, l’ACN ha facoltà di determinare l’importo delle sanzioni. Il presente articolo stabilisce infine i termini per l’adozione e l’aggiornamento delle determinazioni dell’ACN, e dei decreti del Presidente del Consiglio dei Ministri, da effettuarsi rispettivamente ogni due e tre anni e su base periodica.

  1. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, su proposta dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS di cui all’articolo 12 e previo parere del Comitato interministeriale per la cybersicurezza, di cui all’articolo 4 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109:
    • a) sono definiti i criteri per l’applicazione della clausola di salvaguardia di cui all’articolo 3, comma 4;
    • b) sono stabiliti i criteri, le procedure e le modalità di cui all’articolo 34, comma 10;
    • c) sono individuate le modalità di applicazione, nell’ambito del procedimento sanzionatorio, degli strumenti deflattivi del contenzioso di cui all’articolo 38, comma 15.
  2. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, su proposta dell’Agenzia per la cybersicurezza nazionale, d’intesa con le Autorità di settore NIS interessate, sentito il Tavolo per l’attuazione della disciplina NIS e previo parere del Comitato interministeriale per la cybersicurezza:
    • a) possono essere stabiliti ulteriori criteri di identificazione delle tipologie di soggetto di cui agli allegati I e II, nonché delle ulteriori tipologie di soggetto di cui all’articolo 3;
    • b) possono essere individuate ulteriori categorie di pubbliche amministrazioni di cui all’articolo 3, commi 6 e 7, a cui si applica il presente decreto;
    • c) sono stabilite le modalità di raccordo e di collaborazione tra l’Agenzia per la cybersicurezza nazionale e le Autorità di settore NIS ai fini del presente decreto.
  3. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, su proposta dell’Agenzia per la cybersicurezza nazionale, d’intesa con le Amministrazioni interessate, sentito il Tavolo per l’attuazione della disciplina NIS, previo parere del Comitato interministeriale per la cybersicurezza, sono stabilite, ove necessario, le modalità di raccordo e collaborazione di cui all’articolo 14.
  4. Con una o più determinazioni dell’Agenzia per la cybersicurezza nazionale, su proposta delle Autorità di settore NIS interessate, sentito il Tavolo per l’attuazione della disciplina NIS:
    • a) sono individuati, ove necessario, i soggetti ai quali si applica la clausola di salvaguardia di cui all’articolo 3, comma 4;
    • b) sono individuati i soggetti ai quali si applica il presente decreto ai sensi dell’articolo 3, commi 8 e 9.
  5. Con una o più determinazioni dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS:
    • a) ai sensi degli articoli 3 e 6, è stabilito l’elenco dei soggetti essenziali e dei soggetti importanti di cui all’articolo 7, comma 2;
    • b) sono stabiliti i termini, le modalità nonché i procedimenti di utilizzo e accesso di cui all’articolo 7, comma 6, le eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dei commi 1 e 4 del medesimo articolo, nonché i termini, le modalità e i procedimenti di designazione dei rappresentanti di cui all’articolo 5, comma 3;
    • c) possono essere definiti ulteriori disposizioni per l’organizzazione e per il funzionamento del Tavolo per l’attuazione della disciplina NIS di cui all’articolo 12;
    • d) è adottata, d’intesa con il Ministero della giustizia, la politica nazionale di divulgazione coordinata delle vulnerabilità di cui all’articolo 16, comma 4;
    • e) possono essere imposte condizioni per le informazioni messe a disposizione dalle autorità competenti e dal CSIRT Italia nel contesto degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all’articolo 17, comma 3;
    • f) sono stabilite le modalità con cui i soggetti essenziali e i soggetti importanti notificano all’Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all’articolo 17, comma 4;
    • g) possono essere designati gli esperti di sicurezza informatica di cui all’articolo 21, comma 1, nonché individuate, se necessario, le modalità per l’esecuzione della revisione tra pari di cui al medesimo articolo 21;
    • h) può essere imposto l’utilizzo di prodotti TIC, servizi TIC e processi TIC certificati di cui all’articolo 27, definendo i relativi termini, criteri e modalità;
    • i) sono stabilite le categorie di rilevanza nonché le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi, a valenza multisettoriale e, ove opportuno, settoriale, di cui all’articolo 30;
    • l) sono stabiliti obblighi proporzionati e graduali, a valenza multisettoriale e, ove opportuno, settoriale, di cui all’articolo 31, le modalità di applicazione dei medesimi obblighi per i soggetti che svolgono attività in più settori o sottosettori e per i soggetti di cui all’articolo 32, commi 1 e 2;
    • m) sono stabiliti i criteri per la determinazione dell’importo delle sanzioni ai sensi dell’articolo 38, comma 2.
  6. Sono esclusi dall’accesso e non sono soggetti a pubblicazione:
    • a) i decreti di cui al comma 3;
    • b) le determinazioni di cui al comma 4, lettera b), e al comma 5, lettera a);
    • c) atti, documenti, e informazioni relativi o comunque collegati alle notifiche degli incidenti o la cui divulgazione o il cui accesso possono comunque arrecare un possibile pregiudizio alla sicurezza nazionale nello spazio cibernetico.
  7. Entro trenta giorni dalla data di entrata in vigore del presente decreto sono adottati:
    • a) i decreti del Presidente del Consiglio dei ministri di cui al comma 1, lettera a), e al comma 3;
    • b) le determinazioni dell’Agenzia per la cybersicurezza nazionale di cui al comma 4, lettera b), e al comma 5, lettere b) e c).
  8. Entro sei mesi dalla data di entrata in vigore del presente decreto, sono adottati:
    • a) i decreti del Presidente del Consiglio dei ministri di cui al comma 1, lettere b) e c), e al comma 2, lettera c);
    • b) le determinazioni dell’Agenzia per la cybersicurezza nazionale di cui al comma 5, lettere d), f) e l).
  9. Entro diciotto mesi dalla data di entrata in vigore del presente decreto, sono adottate le determinazioni dell’Agenzia per la cybersicurezza nazionale di cui al comma 5, lettera i).
  10. I decreti del Presidente del Consiglio dei ministri di cui al presente articolo sono aggiornati periodicamente e, comunque, ogni tre anni.
  11. Le determinazioni dell’Agenzia per la cybersicurezza nazionale di cui al presente articolo sono aggiornate periodicamente e, comunque, ogni due anni.

Articolo precedente

Articolo successivo

Tutti gli articoli