Legislatura 19ª - 1ª e 8ª riunite - Resoconto sommario n. 2 del 26/06/2024
Azioni disponibili
IN SEDE CONSULTIVA SU ATTI DEL GOVERNO
Schema di decreto legislativo recante recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (n. 164)
(Parere al Ministro per i rapporti con il Parlamento, ai sensi degli articoli 1 e 3 della legge 21 febbraio 2024, n. 15. Esame e rinvio)
Il senatore POTENTI (LSP-PSd'Az), relatore per la 8a Commissione, precisa preliminarmente che lo schema di decreto legislativo in esame è volto a recepire la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (direttiva NIS - Network and Information Systems - 2), recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148, alla luce dei principi e dei criteri introdotti dall'articolo 3 della legge n. 15 del 2024 (legge di delegazione europea 2022-2023). Sottolinea inoltre che la predetta direttiva (UE) 2022/2555 risponde all'esigenza di rafforzare la resilienza e la sicurezza delle reti e dei sistemi informativi nell'Unione europea.
Lo schema di decreto si compone di 6 Capi e 44 articoli ed è assegnato alle Commissioni riunite 1ª e 8ª per l'espressione del parere da rendere entro il prossimo 27 luglio.
Il Capo I reca disposizioni generali per l'attuazione di un livello elevato di sicurezza cibernetica.
In particolare, l'articolo 1 definisce l'oggetto del decreto legislativo, confermando l'Agenzia per la cibersicurezza nazionale quale Autorità nazionale competente NIS, Punto di contatto unico NIS e Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente (CSIRT Italia).
L'articolo 2 contiene le definizioni più ricorrenti nel testo del presente decreto.
L'articolo 3 definisce l'ambito di applicazione dello stesso decreto legislativo.
L'articolo 4 reca disposizioni in materia di protezione degli interessi nazionali e commerciali, chiarendo che rimane impregiudicata la responsabilità dello Stato italiano di tutelare la propria sicurezza nazionale e il suo potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrità territoriale e il mantenimento dell'ordine pubblico.
L'articolo 5 detta le regole in materia di giurisdizione e territorialità per l'applicazione del presente decreto, con particolare riferimento ai soggetti transfrontalieri.
L'articolo 6 individua i soggetti essenziali e importanti, in base ai requisiti dimensionali e alla tipologia di prodotti o servizi forniti.
L'articolo 7 disciplina le modalità di identificazione dei soggetti essenziali, importanti e che erogano servizi transfrontalieri, tramite registrazione sulla piattaforma digitale resa disponibile dall'Agenzia per la cibersicurezza nazionale.
L'articolo 8 detta disposizioni in materia di protezione dei dati personali e di coordinamento con i poteri sanzionatori del Garante per la protezione dei dati personali, richiamando, in particolare, l'applicazione della disciplina di cui al decreto legislativo n. 196 del 2003 e del regolamento (UE) 2016/679 (GDPR).
Il Capo II è dedicato al quadro nazionale di sicurezza cibernetica.
L'articolo 9 reca disposizioni in materia di strategia nazionale di cibersicurezza, aggiornando, sulla base delle disposizioni della direttiva NIS2, quanto già previsto dall'abrogando decreto legislativo n. 65 del 2018. Viene quindi confermato il vigente impianto che prevede la disciplina del sistema di governance della strategia affidata al decreto-legge n. 82 del 2021 e la definizione dei contenuti della strategia nella disciplina di recepimento della direttiva NIS (e, ora, pertanto, della direttiva NIS2).
Gli articoli 10 e 11 confermano, da un lato, l'Agenzia per la cibersicurezza nazionale quale Autorità nazionale competente NIS e punto di contatto unico NIS e, dall'altro, i Ministeri, già competenti ai sensi del decreto legislativo n. 65 del 2018, quali Autorità di settore per l'attuazione della direttiva NIS2. È infine previsto che le Autorità di settore, per taluni ambiti, si coordinino con le Regioni interessate, secondo modalità che verranno stabilite tramite un apposito accordo da definire, entro il 30 settembre 2024, in sede di Conferenza permanente
L'articolo 12 istituisce, in via permanente, il Tavolo per l'attuazione della disciplina NIS, al fine di assicurare l'implementazione e l'attuazione del presente decreto.
L'articolo 13 delinea la composizione e il funzionamento del quadro nazionale di gestione delle crisi informatiche, individuando, come già anticipato, l'Agenzia per la cibersicurezza nazionale, con funzioni di coordinatore, e il Ministero della difesa, quali autorità competenti alla gestione degli incidenti e delle crisi informatiche su vasta scala. Viene quindi prevista l'adozione - con uno o più dPCm - del Piano nazionale di risposta agli incidenti e alle crisi informatiche su vasta scala, indicando anche i principali contenuti del piano stesso.
L'articolo 14 definisce le modalità di cooperazione a livello nazionale, integrando le previsioni della direttiva NIS2 con quanto già disposto dal decreto legislativo n. 65 del 2018.
L'articolo 15 disciplina il Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT Italia), anche in questo caso integrando le previsioni della direttiva NIS2 con quanto già disposto dal decreto legislativo n. 65 del 2018.
L'articolo 16 attribuisce allo CSIRT Italia il ruolo di coordinatore dei soggetti interessati e di intermediario tra la persona fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi o prodotti TIC potenzialmente vulnerabili, su richiesta di una delle parti, prevedendo che sia adottata, da parte dell'Autorità nazionale competente NIS, una politica nazionale di divulgazione coordinata delle vulnerabilità.
L'articolo 17 disciplina gli accordi di condivisione delle informazioni sulla sicurezza informatica che possono stipulare tra loro i soggetti essenziali, i soggetti importanti e i loro fornitori.
Il Capo III riguarda la cooperazione a livello dell'Unione europea e internazionale.
L'articolo 18 reca la disciplina dell'attività del Gruppo di cooperazione NIS, prevedendo che l'Autorità nazionale competente NIS partecipi alle attività del gruppo di cooperazione composto da rappresentanti degli Stati membri, della Commissione europea e dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA).
I successivi articoli 19 e 20 regolano, rispettivamente, la partecipazione dell'Autorità nazionale di gestione delle crisi cibernetiche alla Rete delle organizzazioni di collegamento per le crisi cibernetiche (EU-CyCLONe) e la partecipazione del CSIRT Italia alla rete di CSIRT nazionali.
L'articolo 21 introduce la procedura di revisione tra pari, per questioni specifiche di natura transfrontaliera o intersettoriale.
L'articolo 22 individua, successivamente all'entrata in vigore del presente decreto, gli obblighi di comunicazione nei confronti dell'Unione europea da parte della Presidenza del Consiglio dei ministri, circa la conferma dell'Agenzia per la cibersicurezza nazionale quale Autorità nazionale competente e Punto di contatto unico NIS, nonché circa la designazione della medesima Agenzia e del Ministero della difesa, quali Autorità nazionali di gestione delle crisi cibernetiche.
Il senatore DELLA PORTA (FdI), relatore per la 1a Commissione, illustra i Capi IV, V e VI del provvedimento in esame.
Il Capo IV è dedicato agli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente.
All'articolo 23 sono disciplinati gli obblighi e le responsabilità degli organi di amministrazione e dei direttivi dei soggetti essenziali e importanti, mentre nei successivi articoli 24 e 25 sono individuati, rispettivamente, gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e quelli in materia di notifica di incidente.
L'articolo 26 introduce la possibilità di procedere alla trasmissione, su base volontaria, al CSIRT Italia di informazioni relative a incidenti, minacce informatiche e quasi incidenti, per i quali non vige l'obbligo di notifica.
L'articolo 27 consente all'Autorità nazionale competente NIS di imporre ai soggetti essenziali e importanti l'utilizzo di determinati prodotti, servizi e processi TIC (tecnologie dell'informazione e della comunicazione), sviluppati dal soggetto essenziale o importante, ovvero acquistati da terze parti, purché siano certificati nell'ambito dei sistemi europei di certificazione della cibersicurezza.
L'articolo 28 attribuisce all'Autorità nazionale competente NIS la facoltà di promuovere l'uso di specifiche tecniche per favorire l'attuazione efficace e armonizzata delle misure di gestione dei rischi di sicurezza cibernetica, senza imposizioni o discriminazioni a favore dell'uso di un particolare tipo di tecnologia.
L'articolo 29 concerne la banca dei dati di registrazione dei nomi di dominio.
L'articolo 30 disciplina un meccanismo di categorizzazione delle attività e dei servizi dei soggetti importanti ed essenziali, che si pone quale elemento fondante per implementare coerentemente il principio di proporzionalità nella declinazione degli obblighi previsti dalla direttiva NIS2.
L'articolo 31 stabilisce che l'Autorità nazionale competente NIS preveda obblighi in materia di gestione del rischio di sicurezza cibernetica e di notifica di incidente, proporzionati anche al grado di esposizione dei soggetti a rischi, alle dimensioni dei soggetti stessi e alla probabilità che si verifichino incidenti, tenendo altresì conto della loro gravità e del loro impatto sociale ed economico.
L'articolo 32 detta regole specifiche per le pubbliche amministrazioni e per i soggetti essenziali e importanti che forniscono servizi, anche digitali, alle medesime.
L'articolo 33 prevede disposizioni di coordinamento della normativa NIS2 con la disciplina del Perimetro di sicurezza nazionale cibernetica.
Il Capo V riguarda le funzioni e le attività di monitoraggio, vigilanza ed esecuzione.
In particolare, all'articolo 34 sono disciplinati gli aspetti generali relativi alle attività di monitoraggio, analisi e supporto, di verifica e ispezione, nonché all'adozione di misure di esecuzione e all'irrogazione delle sanzioni, attribuendo all'Autorità nazionale competente NIS la supervisione sull'adempimento degli obblighi previsti dalla direttiva NIS2 e sui relativi effetti in materia di sicurezza dei sistemi informativi e di rete da parte dei soggetti essenziali e dei soggetti importanti.
Gli articoli 35, 36, 37 e 38 prevedono, ulteriormente, che l'Autorità nazionale competente NIS garantisca un'attività di monitoraggio, analisi e supporto ai soggetti sulla base delle informazioni e delle eventuali rendicontazioni trasmesse; eserciti i poteri di verifica e ispettivi relativi agli obblighi cui sono sottoposti i soggetti essenziali ed importanti; adotti misure di esecuzione per una corretta implementazione della direttiva NIS2 e individui i criteri e le modalità di irrogazione delle sanzioni ai predetti soggetti.
L'articolo 39 disciplina le modalità di cooperazione e assistenza reciproca tra l'Autorità nazionale competente NIS e le Autorità competenti degli altri Stati membri in materia di supervisione.
Il Capo VI, infine, reca le disposizioni finali e transitorie.
L'articolo 40 detta disposizioni relative alla quasi totalità dei provvedimenti di attuazione del presente decreto, che dovranno essere adottati dal Presidente del Consiglio dei ministri, su proposta dell'Agenzia per la cibersicurezza nazionale, sentiti, o d'intesa con, a seconda del provvedimento, il Tavolo per l'attuazione della disciplina NIS, le Autorità di settore NIS interessate e le altre eventuali amministrazioni interessate, previo parere del Comitato interministeriale per la cibersicurezza. È altresì prevista l'adozione di determinazioni dell'Agenzia per la cibersicurezza nazionale, da adottarsi su proposta delle Autorità di settore NIS interessate, e sentito il Tavolo per l'attuazione della disciplina NIS.
L'articolo 41 dispone l'abrogazione del decreto legislativo n. 65 del 2018 di recepimento della prima direttiva NIS e degli articoli 40 e 41 del decreto legislativo n. 259 del 2003 (Codice delle comunicazioni elettroniche), prevedendo una fase transitoria fino all'emanazione dei provvedimenti attuativi del decreto.
Il successivo articolo 42 regola la prima fase di applicazione del presente decreto legislativo.
L'articolo 43 introduce alcune modifiche di coordinamento alla disciplina nazionale in materia di sicurezza cibernetica.
Da ultimo, l'articolo 44 reca le disposizioni finanziarie necessarie per far fronte agli oneri derivanti dall'attuazione del presente decreto legislativo.
Segnala, infine, che lo schema di decreto in esame è stato trasmesso dal Governo con urgenza, stante l'imminente scadenza della delega, anche se privo del parere della Conferenza unificata, che sarà trasmesso appena acquisito. Pertanto, le Commissioni dovranno attendere che il Governo trasmetta la documentazione mancante prima di esprimere il parere.
Ha quindi inizio la discussione generale.
Il senatore BASSO (PD-IDP) sottolinea l'importanza del provvedimento, volto ad accrescere la cibersicurezza nazionale unitamente al disegno di legge n. 1143 ("Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici"), approvato in via definitiva la scorsa settimana dal Senato.
Data la complessità della materia, ritiene opportuno svolgere alcune audizioni, a cominciare dal direttore dell'Agenzia per la cibersicurezza nazionale e da rappresentanti del mondo imprenditoriale, anche al fine di evitare che il recepimento della normativa europea si traduca in eccessivo aggravio burocratico.
Il PRESIDENTE, considerato il programma dei lavori molto intenso delle Commissioni 1a e 8a per le materie di rispettiva competenza, e trattandosi tuttavia di una questione particolarmente urgente e rilevante, ritiene preferibile chiedere ai soggetti eventualmente indicati di inviare un contributo scritto.
Il senatore BASSO (PD-IDP) ritiene condivisibile la proposta del Presidente.
Il senatore GIORGIS (PD-IDP) osserva che, qualora dai documenti pervenuti risulti un'indicazione nettamente critica rispetto al provvedimento, bisognerebbe comunque riservarsi la possibilità di un'audizione in presenza.
Il PRESIDENTE conviene con le considerazioni del senatore Giorgis. Propone quindi di fissare per le ore 14 di domani, giovedì 27 giugno, il termine entro cui ciascun Gruppo potrà indicare i nominativi degli esperti e dei soggetti a cui inviare la richiesta di contributo scritto.
Le Commissioni riunite convengono.
Il seguito dell'esame è quindi rinviato.
La seduta termina alle ore 9,40.