Menu veloce: Pagina iniziale | Consultazione | Filtri di selezione | Contenuto
Scarica versione stampabile Deliberazione della Giunta Regionale

Bur n. 106 del 05 agosto 2025


Materia: Organizzazione amministrativa e personale regionale

Deliberazione della Giunta Regionale n. 841 del 29 luglio 2025

Decreto Legislativo 4 settembre 2024, n. 138. Individuazione dell'organo amministrativo e direttivo, del punto di contatto per la cybersicurezza e del suo sostituto. Determinazioni.

Note per la trasparenza

Con il presente provvedimento si procede all’individuazione dell’organo amministrativo e direttivo, del punto di contatto per la cybersicurezza e del suo sostituto secondo quanto stabilito dal Decreto Legislativo 4 settembre 2024, n. 138.

L'Assessore Francesco Calzavara riferisce quanto segue.

La crescente digitalizzazione della società e dell’economia ha reso la cybersicurezza una priorità fondamentale per la salvaguardia degli interessi nazionali e la resilienza dei servizi essenziali.

Con il Decreto Legislativo 18 maggio 2018, n. 65 recante “Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, l'Italia ha dato attuazione, recependola nell'ordinamento nazionale, alla Direttiva (UE) 2016/1148, cosiddetta “Direttiva NIS” (Network and Information Security), volta a definire le misure necessarie per conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi.

Le contingenze in ambito nazionale e internazionale, che vanno dalla superata emergenza sanitaria ai più recenti conflitti bellici, ai continui e attuali attacchi informatici nei confronti di istituzioni nazionali pubbliche e private, che assicurano l’erogazione di servizi essenziali o critici (es: energetici, finanziari, informativi), hanno contribuito a catalizzare ulteriormente l’attenzione dei Legislatori nazionali e sovranazionale sulla cybersecurity, nella consapevolezza che la stessa non costituisce solo un fattore di regolamentazione utile allo sviluppo di un mercato digitale unico, ma rappresenta anche un interesse fondamentale per provvedere alla sicurezza degli Stati nazionali.

In tale contesto, l’Unione Europea ha adottato la Direttiva (UE) 2022/2555, nota come “Direttiva NIS 2”, con l’obiettivo di armonizzare le normative nazionali in materia di cybersicurezza e rafforzare la resilienza dei soggetti critici e importanti. 

La Direttiva NIS2, inserendosi nel più ampio quadro delle politiche strategiche della Commissione Europea in materia di cybersicurezza, come il Cybersecurity Act e il Cyber Resilience Act, aggiorna le norme introdotte con la Direttiva del 2016, per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione per quanto riguarda i rischi derivanti dalle minacce e dagli incidenti, modernizzando la disciplina esistente e riducendo la discrezionalità degli Stati membri. In particolare, rispetto alla precedente Direttiva del 2016 (cd. “Direttiva NIS”), ha apportato significative revisioni allo scopo di superare carenze intrinseche emerse in fase di attuazione e affrontare le sfide emergenti in materia di sicurezza informatica.

La “Direttiva NIS2” ha principalmente l’obiettivo:

  • di eliminare le divergenze nell’attuazione della normativa tra gli Stati membri, promuovendo un quadro normativo più uniforme e coordinato,
  • di aumentare la cooperazione tra gli Stati membri,
  • di aggiornare l’elenco dei settori soggetti agli obblighi in materia di cybersicurezza,
  • di estendere gli obblighi di sicurezza a un maggior numero di settori e servizi ritenuti vitali per le attività sociali ed economiche, superando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi essenziali.

L’Italia ha recepito tale Direttiva attraverso il Decreto Legislativo 4 settembre 2024, n. 138 recante “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148”, pubblicato in Gazzetta Ufficiale del 1° ottobre 2024 ed in vigore dal 16 ottobre 2024.

L’applicazione del summenzionato Decreto Legislativo va inoltre coordinata con la Legge 28 giugno 2024, n. 90 (che definisce il Perimetro di Sicurezza Nazionale Cibernetico), la quale ha introdotto importanti adempimenti per le pubbliche amministrazioni rientranti nel perimetro di applicazione, con lo scopo di rafforzare la sensibilità e la protezione dei predetti soggetti rispetto ai rischi informatici aventi impatto su reti, sistemi informativi e servizi informatici, e ha inserito, tra gli altri, l’obbligo di individuare un «referente per la cybersicurezza». 

In tal senso, con Deliberazione n. 1538 del 30 dicembre 2024, la Giunta regionale ha individuato nella Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict la struttura organizzativa della Regione del Veneto a cui sono attribuite le funzioni previste dall’art. 8, comma 1 della Legge del 28 giugno 2024, n. 90.

La succitata normativa nazionale in materia guarda in modo specifico al miglioramento del governo della cybersecurity da parte delle organizzazioni pubbliche e private e dispone in materia di adozione di politiche e strategia di sicurezza, di procedure di sicurezza. La stessa prevede un obbligo di notifica degli “incidenti informatici” in un tempo contingentato a pena di sanzioni, nonché obblighi in tema di governance e gestione del rischio cyber.

In particolare il Decreto Legislativo 4 settembre 2024, n. 138 (d’ora in avanti “Decreto NIS”) prevede che:

1) i soggetti inclusi nell’ambito di applicazione della normativa in esame (Pubbliche Amministrazioni centrali, regionali e locali ed altri soggetti pubblici) siano suddivisi tra “Soggetti essenziali e soggetti importanti”, secondo i criteri specificati dall’art. 6 ovvero:

  • i “soggetti essenziali” sono quelli che svolgono servizi essenziali per la società e l’economia e che, in caso di interruzione, potrebbero causare gravi disagi. Le Pubbliche Amministrazioni centrali sono per legge incluse in questa categoria perché, fornendo servizi fondamentali come la giustizia, l’istruzione, la sanità e le infrastrutture, sono vitali per il funzionamento dello stato;
  • i “soggetti importanti”, pur non rientrando nei settori ad alta criticità, svolgono un ruolo chiave nell’attuazione della Direttiva e nella gestione dei rischi informatici. La loro conformità alla Direttiva NIS2 è fondamentale per garantire la sicurezza dei dati e la continuità dei servizi;

2) sia effettuata la designazione di un “Punto di contatto” per l’Ente, quale soggetto che sovraintende all’attuazione del Decreto NIS, effettua la registrazione e inserisce le informazioni nel portale dell’Agenzia per la Cybersicurezza Nazionale (di seguito, ACN) dedicato allo scambio di informazioni e cura i rapporti con ACN per conto del soggetto NIS;

3) sia effettuata la designazione del “sostituto” del Punto di contatto;

4) sono individuati gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti che sono tenuti al rispetto degli adempimenti di cui al capo IV del Decreto NIS, tra cui l’approvazione della modalità di implementazione degli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente e il monitoraggio sull’implementazione dei predetti obblighi (art. 23).

Nello specifico, l’art. 23, rubricato “Organi di amministrazione e direttivi”, individua l’ambito di responsabilità dell'organo di amministrazione e dell'organo direttivo dei soggetti essenziali e dei soggetti importanti. In particolare l'organo di amministrazione e l'organo direttivo dei soggetti essenziali e dei soggetti importanti:

  • approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell'art. 24;
  • sovrintendono all'implementazione degli obblighi di cui all'art. 7;
  • sono responsabili delle violazioni di cui al Decreto NIS;
  • sono tenuti a seguire una formazione in materia di sicurezza informatica;
  • promuovono l'offerta periodica di una formazione ai loro dipendenti, per favorire l'acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.

La violazione degli obblighi suindicati comporta l’applicazione delle sanzioni previste dal successivo art. 38 che prevede sanzioni amministrative, sia pecuniarie che disciplinari, che trovano applicazione non solo per la violazione degli adempimenti previsti dal Decreto NIS, ma anche per il mancato adeguamento agli avvertimenti e alle diffide emesse dall’Agenzia per la Cybersicurezza Nazionale. Tali sanzioni vengono comminate a seguito di attività di monitoraggio, supporto, analisi, verifica, ispezione ed esecuzione, garantendo un approccio coerente e integrato.

L’importo delle sanzioni è stabilito dall’Agenzia per la Cybersicurezza Nazionale e può variare in base alla gravità della violazione e alla tipologia del soggetto coinvolto, tenendo altresì conto di criteri come la proporzionalità e la dissuasività della sanzione.

Con Determina n. 136117/2025 l’Agenzia per la Cybersicurezza Nazionale, quale Autorità nazionale competente NIS ha delineato termini, modalità e procedimenti di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti devono fornire all’Autorità nazionale competente NIS.

Con nota agli atti della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, acquisita al prot. reg. n. 188709 del 14 aprile 2025, ACN ha comunicato che con Determinazione del Direttore Generale n. 136430 del 12 aprile 2025 la Regione del Veneto (80007580279) è stata individuata quale Soggetto Importante. Il codice identificativo attribuitole è ITWBDFQ7.

Con successiva nota agli atti della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, acquisita al prot. reg. n. 260562 del 25 maggio 2025, ACN ha comunicato che l’aggiornamento annuale della piattaforma di cui all’art. 7 del Decreto NIS dovrà essere concluso entro il termine del 31 luglio 2025.

Entro tale termine, che si rinnova annualmente, i soggetti Essenziali e Importanti comunicano/aggiornano le seguenti informazioni:

  • lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
  • l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del Decreto (ove applicabile);
  • i responsabili di cui all’art. 38, comma 5, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
  • il sostituto del punto di contatto (di cui al comma 1, lettera c), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono (art. 7, comma 4).

Alla luce di quanto sopra esposto, sorge la necessità di individuare per la Regione del Veneto, entro la scadenza del 31/07/2025, l’organo amministrativo, l’organo direttivo, il punto di contatto e il relativo sostituto.

Sul punto si richiama la Deliberazione n. 1702 del 09/12/2020 e successive integrazioni con cui la Giunta regionale ha individuato l’articolazione delle proprie strutture di cui agli artt. 9, comma 2, lett. b) e 11 della L.R. n. 54/2012 e s.m.i.. In tale contesto organizzativo le Aree individuate costituiscono l’articolazione amministrativa apicale per macro materie omogenee.

Inoltre alla Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict sono state affidate le competenza in tema di sicurezza informatica.

Pertanto ne consegue che il modello organizzativo della Giunta regionale non consente di limitare alla sola Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict l’assunzione degli oneri e delle responsabilità espressamente indicate dal D.Lgs n. 138/2024, ed in particolare dall'art. 23.

A tal fine risulta necessario ripartire tali oneri e responsabilità derivanti dall'applicazione del D.Lgs n. 138/2024 anche tra i titolari di organi amministrativi apicali che svolgono compiti di coordinamento, direzione e controllo nel settore di competenza.

Si ritiente pertanto di strutturare l'assetto di governance della Regione del Veneto, in attuazione del D.Lgs n. 138/2024, come segue:

a) organo amministrativo: il Presidente della Giunta regionale del Veneto, in qualità di legale rappresentante della Regione del Veneto;

b) organo direttivo: costituito dai titolari di incarichi amministrativi apicali e dai titolari di incarichi amministrativi competenti per materia di seguito elencati:

  • il Segretario Generale della programmazione della Regione del Veneto;
  • il Direttore Area Politiche economiche, Capitale umano e Programmazione comunitaria;
  • il Direttore Area Marketing territoriale, Cultura, Turismo, Agricoltura e Sport;
  • il Direttore Area Sanità e Sociale;
  • il Direttore Area Tutela e Sicurezza del Territorio;
  • il Direttore Area Infrastrutture, Trasporti, Lavori pubblici, Demanio;
  • il Direttore Area Risorse finanziarie, strumentali, ICT ed Enti locali;
  • il Direttore della Direzione organizzazione e personale;
  • il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict;

c) punto di contatto: il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict. Il sostituto del punto di contatto è individuato nel Direttore Vicario della medesima Direzione. Entrambi, per lo svolgimento delle relative funzioni, potranno avvalersi di un delegato in possesso di adeguate competenze.

Infine si determina che le funzioni di coordinamento dell'organo direttivo siano affidate al Segretario Generale della programmazione della Regione del Veneto e le relative funzioni di supporto in materia e di elaborazione di un piano di adeguamento agli obblighi NIS 2 siano affidate al Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict.

Si incarica inoltre il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, quale punto di contatto, di provvedere alla registrazione di tutte le informazioni relative all’organo amministrativo, all'organo direttivo e al punto di contatto nel “Portale NIS” e di eseguire le operazioni necessarie per il caricamento dei dati entro il 31 luglio 2025, in conformità a quanto stabilito dalla Determinazione n. 136117/2025 del 14 aprile 2025 del Direttore generale dell’Agenzia per la Cybersicurezza Nazionale.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

VISTO il D.Lgs. n. 138 del 4/09/2024;

VISTA la L. n. 90 del 28/06/2024;

VISTA la L.R. n. 54 del 31/12/2012;

VISTA la D.G.R. n. 1702 del 09/12/2020;

VISTA la D.G.R. n. 1538 del 30/12/2024;

delibera

  1. di approvare le premesse quale parte integrante e sostanziale del presente provvedimento;
  2. di dare atto che il Decreto Legislativo n. 138/2024 recante "Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148" prevede l'individuazione nelle Pubbliche Amministrazioni dell'organo amministrativo, dell'organo direttivo, del punto di contatto e del relativo sostituto;
  3. di prendere atto dell’individuazione, da parte dell’Agenzia per la cybersicurezza nazionale, di Regione del Veneto quale soggetto NIS importante ai sensi e per gli effetti di quanto previsto dal Decreto Legislativo 4 settembre 2024, n. 138 (codice identificativo ITWBDFQ7);
  4. di identificare l’organo amministrativo dell’Ente/soggetto NIS Regione del Veneto, ai sensi dell’art. 23 del D.Lgs. n. 138/2024, nel Presidente della Giunta regionale del Veneto, in qualità di legale rappresentante;
  5. di individuare l'organo direttivo dell’Ente/soggetto NIS Regione del Veneto, ai sensi dell’art. 23 del D.Lgs. n. 138/2024 nei titolari di incarichi amministrativi apicali e nei titolari di incarichi amministrativi competenti per materia di seguito indicati:
    • il Segretario Generale della programmazione di Regione del Veneto;
    • il Direttore Area Politiche economiche, Capitale umano e Programmazione comunitaria;
    • il Direttore Area Marketing territoriale, Cultura, Turismo, Agricoltura e Sport;
    • il Direttore Area Sanità e Sociale
    • il Direttore Area Tutela e Sicurezza del Territorio;
    • il Direttore Area Infrastrutture, Trasporti, Lavori pubblici, Demanio;
    • il Direttore Area Risorse finanziarie, strumentali, ICT ed Enti locali;
    • il Direttore della Direzione organizzazione e personale;
    • il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict.
  6. di stabilire che nell'ambito dell'organo direttivo, di cui al punto 5, le funzioni di coordinamento sono affidate al Segretario Generale della programmazione e le funzioni di supporto in materia e di elaborazione di un piano di adeguamento agli obblighi NIS 2 sono affidate al Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict;
  7. di individuare nel Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict il punto di contatto, ai sensi dell’art. 7, comma 1, lettera c) del D.Lgs. n. 138/2024 e di individuare nel Direttore vicario della medesima Direzione, il sostituto del punto di contatto, ai sensi dell’art. 7, comma 4, lettera d) del D.Lgs. n. 138/2024. Entrambi per lo svolgimento delle relative funzioni potranno avvalersi di un delegato in possesso di adeguate competenze;
  8. di incaricare il Direttore della Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict, quale punto di contatto, come individuato al punto 7, di provvedere alla registrazione di tutte le informazioni relative all’organo amministrativo, all'organo direttivo e al punto di contatto, come individuati ai punti 4, 5 e 7, nel “Portale NIS” e di eseguire le operazioni necessarie per il caricamento dei dati entro il 31 luglio 2025, in conformità a quanto stabilito dalla Determinazione n. 136117/2025 del 14 aprile 2025 del Direttore generale dell’Agenzia per la Cybersicurezza Nazionale;
  9. di incaricare la Direzione ICT, Agenda Digitale e SOS affidamento servizi e forniture ict dell'esecuzione del presente atto;
  10. di dare atto che il presente provvedimento non comporta spesa a carico del bilancio regionale;
  11. di pubblicare il presente atto nel Bollettino ufficiale della Regione.

Torna indietro

Menu BURVET