D.Lgs. · n. 138
Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
 Apri lettore completo
Capo VI

Art. 40

Attuazione

In vigore dal 16 ott 2024
1. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all' della legge 23 agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l'attuazione della disciplina NIS di cui all' e previo parere del Comitato interministeriale per la cybersicurezza, di cui all' del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109: a) sono definiti i criteri per l'applicazione della clausola di salvaguardia di cui all', comma 4; b) sono stabiliti i criteri, le procedure e le modalità di cui all', comma 10; c) sono individuate le modalità di applicazione, nell'ambito del procedimento sanzionatorio, degli strumenti deflattivi del contenzioso di cui all', comma 15. 2. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all' della legge 23 agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza nazionale, d'intesa con le Autorità di settore NIS interessate, sentito il Tavolo per l'attuazione della disciplina NIS e previo parere del Comitato interministeriale per la cybersicurezza: a) possono essere stabiliti ulteriori criteri di identificazione delle tipologie di soggetto di cui agli allegati I e II, nonché delle ulteriori tipologie di soggetto di cui all'; b) possono essere individuate ulteriori categorie di pubbliche amministrazioni di cui all', commi 6 e 7, a cui si applica il presente decreto; c) sono stabilite le modalità di raccordo e di collaborazione tra l'Agenzia per la cybersicurezza nazionale e le Autorità di settore NIS ai fini del presente decreto. 3. Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all' della legge 23 agosto 1988, n. 400, su proposta dell'Agenzia per la cybersicurezza nazionale, d'intesa con le Amministrazioni interessate, sentito il Tavolo per l'attuazione della disciplina NIS, previo parere del Comitato interministeriale per la cybersicurezza, sono stabilite, ove necessario, le modalità di raccordo e collaborazione di cui all'. 4. Con una o più determinazioni dell'Agenzia per la cybersicurezza nazionale, su proposta delle Autorità di settore NIS interessate, sentito il Tavolo per l'attuazione della disciplina NIS: a) sono individuati, ove necessario, i soggetti ai quali si applica la clausola di salvaguardia di cui all', comma 4; b) sono individuati i soggetti ai quali si applica il presente decreto ai sensi dell', commi 8 e 9. 5. Con una o più determinazioni dell'Agenzia per la cybersicurezza nazionale, sentito il Tavolo per l'attuazione della disciplina NIS: a) ai sensi degli , è stabilito l'elenco dei soggetti essenziali e dei soggetti importanti di cui all', comma 2; b) sono stabiliti i termini, le modalità nonché i procedimenti di utilizzo e accesso di cui all', comma 6, le eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dei commi 1 e 4 del medesimo articolo, nonché i termini, le modalità e i procedimenti di designazione dei rappresentanti di cui all', comma 3; c) possono essere definiti ulteriori disposizioni per l'organizzazione e per il funzionamento del Tavolo per l'attuazione della disciplina NIS di cui all'; d) è adottata, d'intesa con il Ministero della giustizia, la politica nazionale di divulgazione coordinata delle vulnerabilità di cui all', comma 4; e) possono essere imposte condizioni per le informazioni messe a disposizione dalle autorità competenti e dal CSIRT Italia nel contesto degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all', comma 3; f) sono stabilite le modalità con cui i soggetti essenziali e i soggetti importanti notificano all'Autorità nazionale competente NIS la loro partecipazione agli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all', comma 4; g) possono essere designati gli esperti di sicurezza informatica di cui all', comma 1, nonché individuate, se necessario, le modalità per l'esecuzione della revisione tra pari di cui al medesimo ; h) può essere imposto l'utilizzo di prodotti TIC, servizi TIC e processi TIC certificati di cui all', definendo i relativi termini, criteri e modalità; i) sono stabilite le categorie di rilevanza nonché le modalità e i criteri per l'elencazione, caratterizzazione e categorizzazione delle attività e dei servizi, a valenza multisettoriale e, ove opportuno, settoriale, di cui all'; l) sono stabiliti obblighi proporzionati e graduali, a valenza multisettoriale e, ove opportuno, settoriale, di cui all', le modalità di applicazione dei medesimi obblighi per i soggetti che svolgono attività in più settori o sottosettori e per i soggetti di cui all', commi 1 e 2; m) sono stabiliti i criteri per la determinazione dell'importo delle sanzioni ai sensi dell', comma 2. 6. Sono esclusi dall'accesso e non sono soggetti a pubblicazione: a) i decreti di cui al comma 3; b) le determinazioni di cui al comma 4, lettera b), e al comma 5, lettera a); c) atti, documenti, e informazioni relativi o comunque collegati alle notifiche degli incidenti o la cui divulgazione o il cui accesso possono comunque arrecare un possibile pregiudizio alla sicurezza nazionale nello spazio cibernetico. 7. Entro trenta giorni dalla data di entrata in vigore del presente decreto sono adottati: a) i decreti del Presidente del Consiglio dei ministri di cui al comma 1, lettera a), e al comma 3; b) le determinazioni dell'Agenzia per la cybersicurezza nazionale di cui al comma 4, lettera b), e al comma 5, lettere b) e c). 8. Entro sei mesi dalla data di entrata in vigore del presente decreto, sono adottati: a) i decreti del Presidente del Consiglio dei ministri di cui al comma 1, lettere b) e c), e al comma 2, lettera c); b) le determinazioni dell'Agenzia per la cybersicurezza nazionale di cui al comma 5, lettere d), f) e l). 9. Entro diciotto mesi dalla data di entrata in vigore del presente decreto, sono adottate le determinazioni dell'Agenzia per la cybersicurezza nazionale di cui al comma 5, lettera i). 10. I decreti del Presidente del Consiglio dei ministri di cui al presente articolo sono aggiornati periodicamente e, comunque, ogni tre anni. 11. Le determinazioni dell'Agenzia per la cybersicurezza nazionale di cui al presente articolo sono aggiornate periodicamente e, comunque, ogni due anni.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

urn:nir:stato:decreto.legislativo:2024-09-04;138#art-40

Torna alla scheda dell'atto
Home
Cerca
Mie
Shop
Profilo