Decreto legislativo - 18/05/2018 - n. 65 art. 7 - (Autorità nazionale competente e punto di contatto unico) 1 2 .

Autorità di settore

Le autorità di settore (es. energia, trasporti, infrastrutture del mercato finanziario o infrastrutture digitali) hanno avuto il compito di identificare gli operatori di servizi essenziali con sede nel territorio nazionale, sulla base del tipo di servizio offerto (deve essere essenziale per il mantenimento di attività sociali e/o economiche fondamentali), della dipendenza della sua erogazione dalla rete e dai sistemi informativi, oltreché degli effetti negativi derivanti da un incidente informatico sulla fornitura del servizio stesso – cfr. artt. 3 e 4, comma 2, lett. c) d.lgs. n. 65/2018. Ai fini di tale identificazione, la valutazione della rilevanza degli effetti negativi di un incidente informatico sulla fornitura di un servizio essenziale deve avvenire prendendo in considerazione dei fattori intersettoriali e settoriali, secondo quanto riportato a commento dell'art. 5 d.lgs. n. 65/2018.

Come previsto, in una fase iniziale le autorità di settore hanno individuato poco più di quattrocentocinquanta realtà, pubbliche o private, e l'elenco nazionale – istituito presso l'ex Ministero dello sviluppo economico – viene sottoposto ad aggiornamento periodico, ove necessario e comunque ogni due anni (post 9 maggio 2018), così da tener conto di eventuali nuove realtà, potenzialmente in grado di rafforzare la sicurezza nell'erogazione dei servizi essenziali. Ai fini del riesame ed aggiornamento dell'elenco nazionale, le autorità di settore presentano una proposta all'ACN che la valuta e/o integra, e, con proprio provvedimento, provvede alla variazione dell'elenco medesimo, dandone apposita comunicazione, in relazione ai settori di competenza, alle già menzionate autorità di settore (art. 4, commi 1, 2, 5 e 6 d.lgs. n. 65/2018).

A livello nazionale, le autorità di settore sono individuate nei dicasteri competenti, sulla base del settore rientrante nella propria area di competenza; nello specifico, si tratta del:

– Ministero delle Imprese e del Made in Italy, con riferimento a tutti e tre i tipi di servizi digitali di cui all'Allegato III del d.lgs. n. 65/2018 (mercato online, motore di ricerca online, servizio di cloud computing) ed alcuni tipi di operatori di servizi essenziali in Allegato II, quali impresa elettrica; gestore del sistema di trasmissione o di distribuzione di energia elettrica; gestore di oleodotti; gestore di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio; impresa di gas naturale o impresa che effettua la vendita (compresa la rivendita) di gas naturale; gestore del sistema di trasporto o di distribuzione di gas naturale; gestore dell'impianto di stoccaggio di gas naturale; gestore del sistema di gas naturale liquefatto o «GNL»; gestore di impianti di raffinazione e trattamento di gas naturale; punto di interscambio internet («IXP»), DNS e TLD per i quali si rinvia a quanto riportato a commento dei precedenti artt. 3 e 4 d.lgs. n. 65/2018;

– Ministero delle Infrastrutture e dei Trasporti, per alcuni tipi di operatori di servizi essenziali in Allegato II, quali: vettore aereo; gestore aeroportuale ed aeroporto centrale; fornitore di servizi di controllo del traffico aereo; gestore dell'infrastruttura di trasporto ferroviario; impresa ferroviaria compreso l'operatore di impianti di servizio; compagnia di navigazione; organo di gestione dei porti; gestore di servizio di assistenza al traffico marittimo; autorità stradale; gestore di sistema di trasporto intelligente;

– Ministero dell'Economia e delle Finanze, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob, per i seguenti tipi di operatori di servizi essenziali in Allegato II: ente creditizio; gestore della sede di negoziazione; controparte centrale;

– Ministero della Salute, con riferimento ai servizi di assistenza sanitaria prestati dagli operatori, intendendosi per tali i «servizi prestati da professionisti sanitari a pazienti, al fine di valutare, mantenere o ristabilire il loro stato di salute, ivi compresa la prescrizione, la somministrazione e la fornitura di medicinali e dispositivi medici» ai sensi dell'art. 3, comma 1, lett. a) d.lgs. n. 38/2014. In tal caso, è disposta una ripartizione di competenze tra Stato, Regioni e Province autonome di Trento e Bolzano (direttamente o per il tramite delle autorità territorialmente competenti), diversamente dal Ministero dell'Ambiente e della Sicurezza Energetica;

– Ministero dell'Ambiente e della Sicurezza Energetica, relativamente al settore energia, sottosettori energia elettrica, gas e petrolio, nonché fornitura e distribuzione di acque destinate al consumo umano (per tale ultimo settore sono competenti anche le Regioni e le Province autonome di Trento e di Bolzano).

Il d.lgs. n. 65/2018 precisa, inoltre, che spetta al Ministro della salute individuare con proprio decreto i Prestatori di assistenza sanitaria, mentre al Ministro dell'ambiente e della sicurezza energetica è espressamente demandato il compito di designare, con decreto, i Fornitori e distributori di acque destinate al consumo umano (cfr. art. 4); in entrambi i casi, ciò deve avvenire d'intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano (c.d. «Conferenza Stato – regioni»), istituita con d.P.C.M. 12 ottobre 1983, i cui compiti e funzioni sono stati definiti ed ampliati tramite d.lgs. n. 281/1997 «Definizione ed ampliamento delle attribuzioni della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed unificazione, per le materie ed i compiti di interesse comune delle regioni, delle province e dei comuni, con la Conferenza Stato – città ed autonomie locali». Tra i compiti della Conferenza si possono annoverare, a titolo esemplificativo ma non esaustivo, quello di promuovere e sancire intese, adottare provvedimenti, esprimere pareri, favorire l'interscambio di dati e informazioni.

All'ACN viene attribuita la responsabilità di attuare il decreto e vigilare sulla sua applicazione, nonché di esercitare le attività di ispezione, accertamento e irrogazione delle sanzioni, di cui ai successivi artt. 19 e 20 d.lgs. n. 65/2018 (fatte salve le competenze degli organi preposti alla tutela dell'ordine e della sicurezza pubblica).

Punto di contatto unico

Come noto con il d.l. 14 giugno 2021, n. 82 coordinato con la legge di conversione 4 agosto 2021, n. 109 recante «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale» è stata istituita l'Autorità nazionale per la cybersicurezza.

L'ACN riveste, anche, il ruolo di «punto di contatto unico» (in luogo del precedente Dipartimento delle informazioni per la sicurezza) per un coordinamento nazionale delle questioni relative alla sicurezza delle reti e dei sistemi informativi e per una cooperazione transfrontaliera con le autorità competenti negli altri Stati membri, nonché con la rete di CSIRT ed il gruppo di cooperazione (c.d. «NIS Cooperation Group»), composto da rappresentanti degli Stati membri medesimi, della Commissione europea e dell'ENISA, con il compito di supportare e facilitare la collaborazione strategica e lo scambio di informazioni tra gli Stati membri dell'UE (cfr. artt. 10 e 11 d.lgs. n. 65/2018).

Il punto di contatto unico è, altresì, chiamato a collaborare nel Gruppo di cooperazione «in modo effettivo, efficiente e sicuro» con i rappresentanti degli altri Stati, nonché a consultare con l'autorità di contrasto ed il Garante per la protezione dei dati personali nel rispetto delle disposizioni normative vigenti (art. 7, commi 5 e 6, d.lgs. n. 65/2018).

La designazione del punto di contatto unico, così come dell'autorità competente NIS, è comunicata dalla Presidenza del Consiglio dei ministri alla Commissione europea ed adeguatamente pubblicizzata.

Nei limiti delle proprie competenze e nel rispetto delle finalità di cui al predetto decreto-legge, l'ACN consulta l'Autorità Garante per la protezione dei dati personali e con essa collabora, anche in relazione agli incidenti che comportano violazioni di dati personali (cfr. art. 7, comma 6, del d.l.gs. n. 65/2018).

Elementi di continuità e di novità introdotti dalla NIS2

 In data 7 agosto 2024 il Consiglio dei ministri ha approvato definitivamente il decreto legislativo di recepimento della direttiva NIS2, che si compone di 44 articoli, suddivisi in sei capi, e quattro allegati, avendo optato per una riorganizzazione dei contenuti, al fine di garantire una maggiore sistematicità al testo del provvedimento, secondo i principi e i criteri della Legge di delegazione europea 2022-2023 e nel rispetto dell'attuale impianto della direttiva NIS, come recepito con il d.lgs. n. 65/2018 (cfr. Senato della Repubblica, Atto del Governo sottoposto a parere parlamentare n. 164).

Ai fini di ciò che qui rileva, al Capo I, recante disposizioni generali per un livello elevato di sicurezza cibernetica, l'art. 1 conferma l'ACN quale «Autorità nazionale competente NIS», «Punto di contatto unico NIS» e «Gruppo nazionale di risposta agli incidenti di sicurezza informatica», in quanto al suo interno è incardinato il «CSIRT Italia», riconoscendole funzioni di coordinamento e cooperazione con le altre autorità competenti.

L'ACN viene, altresì, individuata quale Autorità nazionale di gestione delle crisi informatiche, relativamente alla resilienza nazionale di cui all'art. 1 del d.l. n. 82/2021, convertito con modificazioni dalla l. n. 109/2021, così come il Ministero della difesa con riferimento alla difesa dello Stato; entrambi sono responsabili della gestione degli incidenti e delle crisi di cybersicurezza su vasta scala (cfr. art. 2, comma 1, lettera g), ferma restando la competenza del Nucleo per la Cybersicurezza per le attività inerenti «prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento»(artt. 8, comma 1, 9 e 10 del d.l. n. 82/2021).

L'art.1 prevede l'individuazione delle Autorità di settore NIS e l'art.11 designa tra queste anche la Presidenza del Consiglio dei ministri, il Ministero della cultura, il Ministero dell'università e della ricerca nonché il Ministero dell'agricoltura, della sovranità alimentare e delle foreste in aggiunta a tutte quelle già esaminate in precedenza, le quali ultime vengono, tuttavia, ricondotte a settori in gran parte riparametrati, tenendo conto dell'estensione dell'ambito di applicazione a numerosi nuovi soggetti pubblici e privati, con o senza soglia di dimensione (c.d. «size-cup rule»). Nello specifico, le Autorità di settore NIS sono individuate come segue:

– Presidenza del Consiglio dei ministri, per il settore di gestione dei servizi ICT (in collaborazione con l'ACN), per il settore dello spazio e delle pubbliche amministrazioni, nonché per le società in house e le società partecipate o a controllo pubblico;

– Ministero della cultura, relativamente ai soggetti che svolgono attività di interesse culturale di cui all'Allegato IV, n. 3 del decreto legislativo di recepimento della NIS2;

– Ministero dell'università e della ricerca, per il settore ricerca e per gli istituti di istruzione che svolgono attività di ricerca, anche in accordo con le altre amministrazioni vigilanti (Allegato II n. 7 e Allegato IV, n. 2, del decreto legislativo di recepimento della NIS2);

– Ministero dell'agricoltura, della sovranità alimentare e delle foreste, con riferimento al settore produzione, trasformazione e distribuzione di alimenti, di cui all'Allegato II, n. 4;

– Ministero delle Imprese e del Made in Italy, per il settore delle infrastrutture digitali, dei servizi postali e di corriere, della fabbricazione, produzione e distribuzione di sostanze chimiche (sentito il Ministero della salute), della fabbricazione di computer e prodotti di elettronica e ottica, della fabbricazione di apparecchiature elettriche e della fabbricazione di macchinari e apparecchiature n.c.a. (non classificate altrove), dei sottosettori della fabbricazione di autoveicoli, rimorchi e semirimorchi, e della fabbricazione di altri mezzi di trasporto (sentito il Ministero delle infrastrutture e dei trasporti), dei fornitori di servizi digitali;

– Ministero delle Infrastrutture e dei Trasporti, in merito al settore trasporti e per i soggetti che forniscono servizi di trasporto pubblico locale di cui all'Allegato IV, n. 1, del decreto legislativo di recepimento della NIS2;

– Ministero dell'Economia e delle Finanze, per i settori bancario e delle infrastrutture, sentite le autorità di vigilanza di settore, Banca d'Italia e Consob (Allegato I, nn. 3 e 4, del decreto legislativo di recepimento della NIS2);

– Ministero della Salute, con riferimento al settore sanitario e sottosettore fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro;

– Ministero dell'Ambiente e della Sicurezza Energetica, relativamente al settore energia, fornitura e distribuzione di acqua potabile,acque reflue e gestione rifiuti.

L'art. 10 del decreto legislativo di recepimento della NIS2 definisce, poi, le funzioni attribuite all'ACN di Autorità nazionale competente NIS e punto di contatto unico, attribuendole la responsabilità di attuare il decreto e vigilare sulla sua applicazione, di esercitare le attività di ispezione, istruzione, diffida, irrogazione di sanzioni, nonché il compito di garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione e l'ENISA.

Il successivo art. 12 prevede la costituzione presso l'ACN, in via permanente, del «Tavolo per l'attuazione della disciplina NIS», con l'obiettivo di assicurare l'implementazione e attuazione del decreto legislativo di recepimento della NIS2. Il Tavolo è presieduto dal direttore generale dell'ACN, o da un suo delegato, ed è composto da un rappresentante di ogni Autorità di settore NIS di cui all'art. 11 e da due rappresentanti designati da regioni e province autonome in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano.

L'art. 14 formalizza, invece, le modalità di cooperazione a livello nazionale, integrando le previsioni dell'abrogando d.lgs. n. 65/2018 con quanto previsto dalla direttiva NIS2.

L'art. 15 disciplina, poi, il Gruppo nazionale di risposta agli incidenti di sicurezza informatica o CSIRT Italia, incentrato in ACN, mentre l'art. 18 disciplina l'attività del Gruppo di cooperazione NIS, già operante ai sensi del d.lgs. n. 65/2018.

Gli artt. 35, 36 e 37 regolano le attività di monitoraggio, analisi e supporto, verifica e ispezione da parte dell'Autorità NIS, già attualmente svolte da ACN nel contesto della propria attività istituzionale, non determinando così nuovi o maggiori oneri.

La maggior parte dei provvedimenti di attuazione del decreto legislativo di recepimento della NIS2 dovranno essere adottati dal Presidente del Consiglio dei ministri, su proposta dell'ACN, d'intesa con le Autorità di settore NIS o le altre amministrazioni interessate e/o sentito il Tavolo per l'attuazione della disciplina NIS, previo parere del Comitato interministeriale per la cybersicurezza. È prevista, altresì, l'adozione di determinazioni dell'ACN, su proposta delle Autorità di settore NIS interessate, sentito il Tavolo per l'attuazione della disciplina NIS (art. 40).

L'art. 41 statuisce, infine, l'abrogazione del d.lgs. n. 65/2018 e degli artt. 40 («Sicurezza delle reti e dei servizi») e 41 («Attuazione e controllo») del d.lgs. n. 259/ 2003 recante «Codice delle comunicazioni elettroniche», prevedendo una fase transitoria fino alla data di adozione dei provvedimenti attuativi del decreto legislativo di recepimento della NIS2.

Oneri

Per svolgere in modo efficiente ed efficace i compiti assegnati, i soggetti coinvolti nell'attuazione della norma in esame devono poter contare su adeguate risorse finanziarie.

Nello specifico, gli oneri derivanti dall'articolo in commento sono quantificati in 1.300.000 euro a partire dal 2018, ed attengono all'acquisto di beni e servizi (es. strumentazione informatica utile per l'implementazione), alle attività di ispezione/analisi in loco delle infrastrutture informatiche ed alla formazione/aggiornamento del personale addetto al servizio (cfr. Camera dei Deputati, Relazione tecnica, cit., 2 ss.).

Alla copertura di tali oneri si provvede attraverso la corrispondente riduzione del Fondo per il recepimento della normativa europea, istituito nello stato di previsione del Ministero dell'economia e delle finanze, dalla l. n. 115/2015 con l'introduzione dell'art. 41-bis l. n. 234/2012 sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa europea (art. 22 d.lgs. n. 65/2018); ciò limitatamente a quanto occorre per ottemperare agli obblighi di legge e solo in caso di mancata copertura dei fondi già assegnati alle competenti amministrazioni dalla legislazione vigente.

Con riferimento, invece, al decreto legislativo di recepimento della NIS2 di cui al paragrafo precedente, si rinvia all’art. 44, recante le disposizioni finanziarie necessarie per far fronte agli oneri derivanti dall’attuazione del decreto medesimo.