DIRETTIVA NIS 6 - Decreto legislativo 65 del 18 maggio 2018 di attuazione della Direttiva NIS

Lunedì, 17 Giugno 2019

Il decreto 65/2018 recepisce la direttiva fissando le modalità di applicazione per l’Italia. Qui di seguito si presentano le principali decisioni prese per il nostro paese.

  • Entro il 9 novembre 2018 (come da direttiva ma in effetti con un leggero ritardo) sono stati identificati gli OSE, il cui elenco nazionale è stato depositato presso il Ministero dello Sviluppo Economico e con riesame previsto almeno ogni due anni.
  • Sono state definite le autorità competenti responsabili per l’attuazione del decreto. In particolare
    • il Ministero dello sviluppo economico per il settore energia, sottosettori energia elettrica, gas e petrolio e per il settore infrastrutture digitali, sottosettori IXP, DNS, TLD, nonchè per i servizi digitali;
    • il Ministero delle infrastrutture e dei trasporti per il settore trasporti, sottosettori aereo, ferroviario, per vie d'acqua e su strada;
    • il Ministero dell'economia e delle finanze per il settore bancario e per il settore infrastrutture dei mercati finanziari;
    • il Ministero della salute per l'attività di assistenza sanitaria;
    • il Ministero dell'ambiente e della tutela del territorio e del mare in merito al settore fornitura e distribuzione di acqua potabile.
  • E' stato istituito, presso la Presidenza del Consiglio dei Ministri, il CSIRT italiano(https://www.csirt-ita.it). Esso svolge i compiti e le funzioni del CERT nazionale (Computer Emergency Response Team) e del CERT-PA. I compiti di questi ultimi vengono trasferiti al CSIRT.
  • E' stato istituito, presso la Presidenza del Consiglio dei Ministri, il DIS (Dipartimento delle informazioni per la sicurezza - https://www.sicurezzanazionale.gov.it) quale punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi. Questo partecipa alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell'ENISA.
  • Sia per gli OSE che per gli FSD sono stati definiti i criteri di notifica degli incidenti sui servizi forniti, senza ingiustificato ritardo e aventi un impatto rilevante sulla continuità dei servizi essenziali forniti. Le notifiche devono essere inviate al CSIRT nazionale e per conoscenza all’autorità competente. Il CSIRT determina la rilevanza di un eventuali impatti transfrontalieri per le conseguenti azioni.
  • Vengono definiti i criteri di attuazione e controllo da parte delle autorità competenti, oltre che i poteri ispettivi.
  • Vengono definite le sanzioni amministrative per gli OSE e gli FSD per
    • mancata adozione di misure tecniche adeguate e proporzionate per la gestione del rischio per la sicurezza della rete e dei sistemi informativi
    • mancata notifica al CSIRT italiano degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti
    • mancata collaborazione nel fornire le informazioni necessarie per valutare la sicurezza delle proprie reti e sistemi informativi
    • gli importi delle sanzioni, a seconda dei casi, possono variare da €12.000 a €125.000, con la possibilità che vengano triplicati in caso di reiterazione delle violazioni.
  • Vengono definite le disposizioni finanziarie a sostegno della legge.

Dove siamo

Sinergetica Consulting srl
Via Salaria, 292 - 00199 Roma
Informativa Privacy Sito
Cookie Policy
Note legali