Articolo 16 – Direttiva NIS (EU-2016/1148)

Articolo 16 – Direttiva NIS (EU-2016/1148)

Obblighi in materia di sicurezza e notifica degli incidenti

Torna all’indice

1.   Gli Stati membri provvedono affinché i fornitori di servizi digitali identifichino e adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta di servizi di cui all’allegato III all’interno dell’Unione. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

a)

la sicurezza dei sistemi e degli impianti;

b)

trattamento degli incidenti;

c)

gestione della continuità operativa;

d)

monitoraggio, audit e test;

e)

conformità con le norme internazionali.

2.   Gli Stati membri provvedono affinché i fornitori di servizi digitali adottino misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all’allegato III offerti all’interno dell’Unione, al fine di assicurare la continuità di tali servizi.

3.   Gli Stati membri provvedono affinché i fornitori di servizi digitali notifichino senza indebito ritardo all’autorità competente o al CSIRT qualsiasi incidente avente un impatto rilevante sulla fornitura di un servizio di cui all’allegato III che essi offrono all’interno dell’Unione. Le notifiche includono le informazioni che consentono all’autorità competente o al CSIRT di determinare la rilevanza di qualsiasi impatto transfrontaliero. La notifica non espone la parte che la effettua a una maggiore responsabilità.

4.   Al fine di determinare se l’impatto di un incidente sia sostanziale, sono tenuti in considerazione, in particolare, i seguenti parametri:

a)

il numero di utenti interessati dall’incidente, in particolare gli utenti che dipendono dal servizio per la fornitura dei propri servizi;

b)

la durata dell’incidente;

c)

la diffusione geografica relativamente all’area interessata dall’incidente;

d)

la portata della perturbazione del funzionamento del servizio;

e)

la portata dell’impatto sulle attività economiche e sociali.

L’obbligo di notificare un incidente si applica soltanto qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l’impatto di un incidente nei confronti dei parametri di cui al primo comma.

5.   Qualora un operatore di servizi essenziali dipenda da una terza parte fornitrice di servizi digitali per la fornitura di un servizio che è indispensabile per il mantenimento di attività economiche e sociali fondamentali, l’operatore stesso notifica qualsiasi impatto rilevante per la continuità di servizi essenziali dovuto ad un incidente a carico di tale operatore.

6.   Se del caso, e in particolare se l’incidente di cui al paragrafo 3 riguarda due o più Stati membri, l’autorità competente o il CSIRT informa gli altri Stati membri coinvolti. A tal fine le autorità competenti, i CSIRT e i punti di contatto unici tutelano, nel rispetto del diritto dell’Unione o della legislazione nazionale conforme al diritto dell’Unione, la sicurezza e gli interessi commerciali del fornitore del servizio digitale nonché la riservatezza delle informazioni fornite.

7.   Dopo aver consultato il fornitore di servizi digitali interessato, l’autorità competente o il CSIRT e, se del caso, le autorità o i CSIRT degli altri Stati membri interessati, possono informare il pubblico riguardo ai singoli incidenti o chiedere al fornitore di servizi digitali di provvedervi, qualora sia necessaria la sensibilizzazione del pubblico per evitare un incidente o gestirne uno in corso, o qualora la divulgazione dell’incidente sia altrimenti nell’interesse pubblico.

8.   La Commissione adotta atti di esecuzione che specifichino ulteriormente gli elementi di cui al paragrafo 1 e i parametri elencati nel paragrafo 4 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 22, paragrafo 2, entro il 9 agosto 2017.

9.   La Commissione può adottare atti di esecuzione che stabiliscono i formati e le procedure applicabili agli obblighi di notifica. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 22, paragrafo 2.

10.   Fatto salvo l’articolo 1, paragrafo 6, gli Stati membri non impongono ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali.

11.   Il capo V non si applica alle microimprese e alle piccole imprese quali definite nella raccomandazione 2003/361/CE della Commissione (19).

Torna all’indice

it_ITItaliano
en_USEnglish it_ITItaliano