INFORMATION TECHNOLOGY
- Il 16 ottobre entrerà in vigore il D.lgs. n. 138/2024, di recepimento della Direttiva (UE) 2022/2555 NIS 2 su un livello comune di cybersicurezza nella UE.
È stato pubblicato in Gazzetta Ufficiale n. 230/2024 il Decreto Legislativo n. 138 del 4 settembre 2024 recante «Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148».
Il D.lgs. n. 138/2024 che entrerà in vigore il 16 ottobre 2024, stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'UE in modo da migliorare il funzionamento del mercato interno.
Il Decreto composto da 44 articoli, prevede nello specifico:
a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;
b) l'integrazione del quadro di gestione delle crisi informatiche, nel contesto dell'organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza;
c) la conferma dell'Agenzia per la cybersicurezza nazionale quale:
1) Autorità nazionale competente NIS, disciplinandone i poteri inerenti all'implementazione e all'attuazione del Decreto;
2) Punto di contatto unico NIS, assicurando il raccordo nazionale e transfrontaliero;
3) Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia);
d) la designazione dell'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2, della Direttiva (UE) 2022/2555, e del Ministero della difesa, ciascuno per gli ambiti di competenza indicati all'art. 2, c. 1, lettera g), quali Autorità nazionali di gestione delle crisi informatiche su vasta scala, assicurando la coerenza con il quadro nazionale esistente in materia di gestione generale delle crisi informatiche, fermi restando i compiti del Nucleo per la cybersicurezza di cui all'art. 9 del D.L. n. 82/2021;
e) l'individuazione di Autorità di settore NIS che collaborano con l'Agenzia per la cybersicurezza nazionale, supportandone le funzioni svolte quale Autorità nazionale competente NIS e Punto di contatto unico NIS;
f) l'indicazione dei criteri per l'individuazione dei soggetti a cui si applica il presente decreto e la definizione dei relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;
g) l'adozione di misure in materia di cooperazione e di condivisione delle informazioni ai fini dell'applicazione del decreto, in particolare, attraverso la partecipazione nazionale a livello dell'Unione europea:
1) al Gruppo di cooperazione NIS tra autorità competenti NIS e tra punti di contatto unici degli Stati membri dell'Ue, nell'ottica di incrementare la fiducia e la collaborazione a livello unionale;
2) alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi cibernetiche su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione europea;
3) alla Rete di CSIRT nazionali nell'ottica di assicurare una cooperazione, sul piano tecnico, rapida ed efficace.
Il D.lgs. n. 138/2024 che entrerà in vigore il 16 ottobre 2024, stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'UE in modo da migliorare il funzionamento del mercato interno.
Il Decreto composto da 44 articoli, prevede nello specifico:
a) la Strategia nazionale di cybersicurezza, recante previsioni volte a garantire un livello elevato di sicurezza informatica;
b) l'integrazione del quadro di gestione delle crisi informatiche, nel contesto dell'organizzazione nazionale per la gestione delle crisi che coinvolgono aspetti di cybersicurezza;
c) la conferma dell'Agenzia per la cybersicurezza nazionale quale:
1) Autorità nazionale competente NIS, disciplinandone i poteri inerenti all'implementazione e all'attuazione del Decreto;
2) Punto di contatto unico NIS, assicurando il raccordo nazionale e transfrontaliero;
3) Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia);
d) la designazione dell'Agenzia per la cybersicurezza nazionale, con funzioni di coordinatore ai sensi dell'articolo 9, paragrafo 2, della Direttiva (UE) 2022/2555, e del Ministero della difesa, ciascuno per gli ambiti di competenza indicati all'art. 2, c. 1, lettera g), quali Autorità nazionali di gestione delle crisi informatiche su vasta scala, assicurando la coerenza con il quadro nazionale esistente in materia di gestione generale delle crisi informatiche, fermi restando i compiti del Nucleo per la cybersicurezza di cui all'art. 9 del D.L. n. 82/2021;
e) l'individuazione di Autorità di settore NIS che collaborano con l'Agenzia per la cybersicurezza nazionale, supportandone le funzioni svolte quale Autorità nazionale competente NIS e Punto di contatto unico NIS;
f) l'indicazione dei criteri per l'individuazione dei soggetti a cui si applica il presente decreto e la definizione dei relativi obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e di notifica di incidente;
g) l'adozione di misure in materia di cooperazione e di condivisione delle informazioni ai fini dell'applicazione del decreto, in particolare, attraverso la partecipazione nazionale a livello dell'Unione europea:
1) al Gruppo di cooperazione NIS tra autorità competenti NIS e tra punti di contatto unici degli Stati membri dell'Ue, nell'ottica di incrementare la fiducia e la collaborazione a livello unionale;
2) alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi cibernetiche su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le istituzioni, gli organi e gli organismi dell'Unione europea;
3) alla Rete di CSIRT nazionali nell'ottica di assicurare una cooperazione, sul piano tecnico, rapida ed efficace.
