Home » CAPO VI – Disposizioni finali e transitorie ( art. 40-44) » Articolo 43 – Modifiche normative
Sintesi Articolo 43
Al fine di garantire coerenza normativa con il precedente decreto-legge 82 del 2021 e la sua conversione con modificazioni in legge n. 109/2021, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale e con il decreto-legge 105/2019, che definisce il perimetro di sicurezza nazionale cibernetica, il presente decreto abroga e apporta modificazioni ai testi normativi suddetti. Tali cambiamenti mirano all’aggiornamento dei ruoli dell’ Agenzia per la cybersicurezza nazionale quale Autorità nazionale competente NIS, nonché punto unico di contatto NIS con gli altri Stati membri e gruppo di risposta agli incidenti cibernetici (CSIRT). Altre modifiche pongono in collegamento i due testi attribuendo al nuovo decreto legislativo, recepente la Direttiva NIS2 in materia cybersecurity, la rilevanza di talune disposizioni in luogo di quelle precedentemente dettate in tema di poteri ispettivi e sanzionatori e di obbligo di notifica dell’incidente.
- Al fine di assicurarne la coerenza con l’architettura nazionale di cybersicurezza e con i compiti dell’Agenzia per la cybersicurezza nazionale, al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni:
a) all’articolo 1, comma 1:
1) la lettera d) è sostituita dalla seguente:
«d) decreto legislativo NIS, il decreto legislativo di recepimento della direttiva (UE) 2022/2555, del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148;»;
2) alla lettera e), le parole: «di cui all’articolo 6» sono sostituite dalle seguenti: «di cui all’articolo 9»;
b) all’articolo 7:
1) al comma 1:
1.1) la lettera d) è sostituita dalle seguenti:
«d) è Autorità nazionale competente NIS e Punto di contatto unico NIS di cui all’articolo 2, comma 1, lettere d) ed e), del decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento;
d-bis) è Autorità nazionale di gestione delle crisi informatiche di cui all’articolo 2, comma 1, lettera g), del decreto legislativo NIS;
d-ter) è CSIRT nazionale, denominato CSIRT Italia, di cui all’articolo 2, comma 1, lettera i), del decreto legislativo NIS;»;
1.2) alla lettera n), le parole: «CSIRT Italia di cui all’articolo 8» sono sostituite dalle seguenti «CSIRT Italia di cui all’articolo 2, comma 1, lettera i)»;
1.3) alla lettera n-bis), le parole: «di cui all’articolo 3, comma 1, lettere g) e i)» sono sostituite dalle seguenti: «i soggetti essenziali e i soggetti importanti di cui all’articolo 6 del decreto legislativo NIS»;
2) il comma 3 è abrogato;
c) l’articolo 15 è abrogato.
- Per assicurare la coerenza con gli obblighi di cui al capo IV e con le disposizioni di cui al capo V del presente decreto, all’articolo 1 del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge del 18 novembre 2019, n. 133, sono apportate le seguenti modificazioni:
a) il comma 3-bis è abrogato;
b) il comma 8 è sostituito dal seguente:
«8. La notifica d’incidente ai sensi del comma 3, lettera a), effettuata dai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica che rientrano nell’ambito di applicazione del decreto legislativo di recepimento della direttiva (UE) 2022/2555 assolve agli obblighi in materia di notifica di incidente di cui all’articolo 25 del decreto legislativo medesimo.»;
c) dopo il comma 8, è inserito il seguente:
«8-bis. Ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica che non sono individuati come soggetti essenziali o importanti ai sensi degli articoli 3 e 6 del decreto legislativo di recepimento della direttiva (UE) 2022/2555, si applicano gli obblighi di cui al capo IV e le attività ispettive e sanzionatorie di cui al capo V previste per i soggetti essenziali ai sensi del medesimo decreto legislativo, limitatamente ai sistemi informativi e di rete diversi da quelli inseriti nell’elenco delle reti, dei sistemi informativi e dei servizi informatici di cui all’articolo 1, comma 2, lettera b), del presente decreto. L’Agenzia per la cybersicurezza nazionale, sentito il tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica, stabilisce con propria determina termini, modalità, specifiche e tempi graduali di implementazione degli obblighi di cui al presente comma.»;
d) il comma 17 è abrogato.