Approvate nuove misure volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione Europea.
In particolare le novità riguardano:
a) l'inclusione nella strategia nazionale di sicurezza cibernetica di previsioni in materia di sicurezza delle reti e dei sistemi informativi;
b) la designazione delle autorità nazionali competenti e del punto di contatto unico, nonchè del Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) in ambito nazionale;
c) il rispetto di obblighi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali relativamente all'adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante;
d) la partecipazione nazionale al gruppo di cooperazione europeo, nell'ottica della collaborazione e dello scambio di informazioni tra Stati membri dell'Unione europea;
e) la partecipazione nazionale alla rete CSIRT nell'ottica di assicurare una cooperazione tecnico-operativa rapida ed efficace.
Disposizioni di maggior importanza per i fornitori di servizi essenziali (energia, trasporti, banche, mercati finanziari, sanità, fornitura di acqua potabile, ecc.) e i fornitori di servizi digitali (servizi cloud, e-commerce, motori di ricerca, ecc.): l'adozione di misure tecnico-organizzative per ridurre il rischio e limitare l'impatto di incidenti informatici e l'obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi (le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell'incidente).
Preme precisare che le disposizioni relative alle misure di sicurezza e di notifica degli incidenti, di cui al presente decreto, non si applicano alle imprese che forniscono reti o servizi di comunicazione elettronica accessibili al pubblico (già soggette agli obblighi di cui agli articoli 16-bis e 16-ter del Dlgs 259/2003), nè ai prestatori di servizi fiduciari (già soggetti agli obblighi di cui all'articolo 19 del Regolamento n. 910/2014).
Infine, viene stabilito un regime sanzionatorio secondo cui le autorità competenti potranno irrogare sanzioni amministrative fino a 150.000 euro per gli operatori di servizi essenziali, e fino a 125.000 euro per i fornitori di servizi digitali.
Il decreto è in vigore dal 24 giugno 2018
Riferimenti: Decreto legislativo n. 65/2018 (GU n. 132 del 9.6.2018)