Questo sito utilizza solo cookie tecnici necessari per la fruizione dei contenuti. Per maggiori informazioni leggi l'informativa sul trattamento dei dati personali.

Privacy Policy
Governo italiano
Ministero delle Imprese e del Made in Italy
Seguici su
Cerca

Autorità di settore NIS

Funzioni delle Autorità di settore ai sensi del D.Lgs n. 138/2024


Con la direttiva dell’Unione europea (UE) 2022/2555, nota come Direttiva NIS-2, recepita in Italia con il decreto legislativo n.138 del 2024, viene abrogata la precedente direttiva (UE) 2016/1148, nota come Direttiva NIS, e modificati il regolamento (UE) 2014/910 (EIDAS) e la direttiva (UE) 2018/1972 (Codice delle Comunicazioni Elettroniche).

La Direttiva NIS aveva introdotto disposizioni volte a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi nell’Unione Europea, con l’obiettivo di contrastare il rischio di incidenti ai danni delle reti informatiche e dei sistemi informativi definendo un’unica linea strategica per gli Stati membri.

La nuova Direttiva NIS-2 ha come scopo principale quello di omogeneizzare e rafforzare gli obblighi di sicurezza cyber, garantendo un aumento dei livelli di sicurezza cibernetica comune e migliorando la già avviata cooperazione tra gli Stati.

I principali elementi della nuova normativa prevedono:

  • l’estensione degli ambiti di applicazione, coinvolgendo oltre 80 tipologie di soggetti, raggruppate in 18 settori, di cui 11 settori altamente critici (originariamente 8) e 7 settori critici (originariamente nessuno), ed interessando l’intera infrastruttura ICT del soggetto (originariamente erano coinvolte solo le reti e i sistemi serventi i servizi essenziali);
  • l’identificazione dei soggetti, distinti tra essenziali e importanti;
  • il rafforzamento degli obblighi; in particolare l’obbligo di implementare misure di sicurezza in relazione ad almeno 10 ambiti, con approccio multi-rischio e proporzionale rispetto al rischio posto al sistema informativo e di rete oltre ad un processo di notifica degli incidenti più articolato. A ciò si aggiunge un rafforzamento dei poteri di esecuzione, ispettivi e sanzionatori, con sanzioni in linea a quanto previsto dal GDPR;
  • l’introduzione di nuovi strumenti, quali la divulgazione coordinata delle vulnerabilità (CVD), la gestione delle crisi, specie a carattere transfrontaliero, con l’istituzione del Cyber Crisis Liaison Organisation Network (CyCLONe) e dell’Autorità nazionale competente per la gestione delle crisi informatiche.

 

Identificazione dei soggetti e ruolo dell'Autorità NIS

Per l’identificazione dei soggetti, essenziali o importanti, è previsto un meccanismo di identificazione automatica sulla base di criteri oggettivi, includendo nell’ambito di applicazione tutti i soggetti riconducibili alle specifiche tipologie di Impresa individuate dalla normativa ai sensi della Raccomandazione 2003/361/CE. L’identificazione può anche essere di tipo governativo, esercitata dall’Autorità nazionale competente NIS su proposta delle Autorità di settore competenti, per inserire nell’ambito di applicazione ulteriori soggetti.

I soggetti coinvolti, essenziali o importanti, sono tenuti ad adottare misure preventive di sicurezza adeguate a gestire i rischi informatici e a notificare gli incidenti informatici al CSIRT (Computer Security Incident Response Team) italiano, che opera presso l’Agenzia per la Cybersicurezza Nazionale (ACN) che è Autorità nazionale competente NIS e Punto di contatto unico NIS ai sensi della Direttiva (UE) 2022/2555, svolgendo la funzione di collegamento volta a garantire la cooperazione transfrontaliera delle autorità nazionali con le omologhe autorità degli altri Stati membri, la Commissione e l'ENISA.

L’Autorità competente NIS ha il compito di assicurare l’attuazione delle disposizioni in materia cyber; le sue funzioni, inizialmente ripartite tra i Ministeri competenti nei diversi settori, sono state centralizzate e affidate all’ACN, come previsto dal decreto legge n.82 del 2021, con il supporto dei Ministeri competenti che svolgono il ruolo di Autorità di settore.

 

Settori di competenza

Funzioni e competenze delle Autorità di settore sono definite nell’art.11 del decreto legislativo n.138/2024. Ciascuna Autorità di settore, ha il compito di supportare con la propria competenza settoriale le funzioni dell’Autorità nazionale competente NIS, convalidare l’elenco dei soggetti NIS per ciascun settore di competenza, proporre eventuali ulteriori identificazioni governative, nonché coordinare i tavoli settoriali di competenza.

Il Ministero delle Imprese e del Made in Italy è Autorità di settore per:

  • Infrastrutture digitali, che comprendono le seguenti tipologie di soggetti:
    • Fornitori di punti di interscambio internet (IXP)
    • Fornitori di servizi di sistema dei nomi di dominio (Domain Name System - DNS), esclusi gli operatori dei server dei nomi radice
    • Gestori di registri dei nomi di dominio di primo livello (Top Level Domain - TLD)
    • Fornitori di servizi di cloud computing
    • Fornitori di servizi di data center Fornitori di reti di distribuzione dei contenuti (Content Delivery Network - CDN)
    • Prestatori di servizi fiduciari
    • Fornitori di reti pubbliche di comunicazione elettronica
    • Fornitori di servizi di comunicazione elettronica accessibili al pubblico
  • Servizi postali e di corriere
  • Fabbricazione, produzione e distribuzione di sostanze chimiche
  • Fabbricazione, limitatamente ai sotto-settori:
    • Fabbricazione di computer e prodotti di elettronica e ottica
    • Fabbricazione di apparecchiature elettriche
    • Fabbricazione di macchinari e apparecchiature non classificati altrove (n.c.a.)
    • Fabbricazione di autoveicoli, rimorchi e semirimorchi
    • Fabbricazione di altri mezzi di trasporto
  • Fornitori di servizi digitali, che comprendono le seguenti tipologie di soggetti:
    • Fornitori di mercati online
    • Fornitori di motori di ricerca online
    • Fornitori di piattaforme di social network
    • Fornitori di servizi di registrazione dei nomi a dominio

 

Riferimenti

  • decreto legislativo 4 settembre 2024, n.138 in recepimento della direttiva (UE) 2022/2555, recante misure per un livello comune elevato di cibersicurezza nell'Unione, modifica del regolamento (UE) n. 2014/910 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148;

  • principali provvedimenti attuativi del decreto legislativo 4 settembre 2024, n.138;

  • decreto legislativo 18 maggio 2018, n. 65 Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.


Contatti

E-mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Pec Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Ufficio competente

Divisione II. Sicurezza reti e tutela delle comunicazioni. Attività delle autorità di settore in materia di sicurezza informatica. Qualità dei servizi

Questa pagina ti è stata utile?

'Non hai validato correttamente la casella "Non sono un robot"'
Torna a inizio pagina