Articolo 1: Oggetto e ambito di applicazione – D.Lgs. 65/2018 – Attuazione Direttiva NIS
1. Il presente decreto stabilisce misure volte a conse- guire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.
2. Ai fini del comma 1, il presente decreto prevede:
a) l’inclusione nella strategia nazionale di sicurezza cibernetica di previsioni in materia di sicurezza delle reti e dei sistemi informativi rientranti nell’ambito di applica- zione del presente decreto;
b) la designazione delle autorità nazionali compe- tenti e del punto di contatto unico, nonché del Gruppo di intervento per la sicurezza informatica in caso di inciden- te (CSIRT) in ambito nazionale per lo svolgimento dei compiti di cui all’allegato I;
c) il rispetto di obblighi da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali relati- vamente all’adozione di misure di sicurezza e di notifica degli incidenti con impatto rilevante;
d) la partecipazione nazionale al gruppo di coope- razione europeo, nell’ottica della collaborazione e dello scambio di informazioni tra Stati membri dell’Unione europea, nonché dell’incremento della fiducia tra di essi;
e) la partecipazione nazionale alla rete CSIRT nell’ottica di assicurare una cooperazione tecnico-opera- tiva rapida ed efficace.
3. Le disposizioni in materia di misure di sicurezza e di notifica degli incidenti di cui al presente decreto non si applicano alle imprese soggette agli obblighi di cui agli articoli 16-bis e 16-ter del decreto legislativo 1° agosto 2003, n. 259, né ai prestatori di servizi fiduciari soggetti agli obblighi di cui all’articolo 19 del regolamento (UE) n. 910/2014.
4. Il presente decreto si applica fatto salvo quanto pre- visto dal decreto legislativo 11 aprile 2011, n. 61, e dalla direttiva 2013/40/UE relativa agli attacchi contro i siste- mi di informazione e che sostituisce la decisione quadro 2005/222/GAI, del Consiglio.
5. Fatto salvo quanto previsto dall’articolo 346 del trattato sul funzionamento dell’Unione europea, le infor- mazioni riservate secondo quanto disposto dalla norma- tiva dell’Unione europea e nazionale, in particolare per quanto concerne la riservatezza degli affari, sono scam- biate con la Commissione europea e con altre autorità competenti NIS solo nella misura in cui tale scambio sia necessario ai fini dell’applicazione del presente decreto. Le informazioni scambiate sono pertinenti e commisurate allo scopo. Lo scambio di informazioni ne tutela la riser- vatezza e protegge la sicurezza e gli interessi commerciali degli operatori di servizi essenziali e dei fornitori di ser- vizi digitali.
6. Il presente decreto lascia impregiudicate le misure adottate per salvaguardare le funzioni essenziali dello Stato, in particolare di tutela della sicurezza nazionale, comprese le misure volte a tutelare le informazioni, nei casi in cui la divulgazione sia ritenuta contraria agli inte- ressi essenziali di sicurezza e di mantenimento dell’ordi- ne pubblico, in particolare a fini di indagine, accertamen- to e perseguimento di reati.
7. Qualora gli obblighi previsti per gli operatori di ser- vizi essenziali o i fornitori di servizi digitali di assicurare la sicurezza delle loro reti e dei loro sistemi informativi o di notificare gli incidenti siano oggetto di uno speci- fico atto giuridico dell’Unione europea, si applicano le disposizioni di detto atto giuridico nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui al presente decreto.