Articolo 12 D.Lgs. 65/2018 – Attuazione Direttiva NIS

Articolo 12: Obblighi in materia di sicurezza e notifica degli incidenti – D.Lgs. 65/2018 – Attuazione Direttiva NIS

 

1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze piu’ aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuita’ di tali servizi.

3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all’articolo 10, nonche’ delle linee guida di cui al comma 7.

4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorita’ competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali.

5. Gli operatori di servizi essenziali notificano al CSIRT italiano e, per conoscenza, all’autorita’ competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuita’ dei servizi essenziali forniti.

6. Il CSIRT italiano inoltra tempestivamente le notifiche all’organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), delle attivita’ di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento.

7. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell’incidente. La notifica non espone la parte che la effettua a una maggiore responsabilita’ rispetto a quella derivante dall’incidente. Le autorita’ competenti NIS possono predisporre linee guida per la notifica degli incidenti.

8. Per determinare la rilevanza dell’impatto di un incidente si tiene conto in particolare dei seguenti parametri:

a) il numero di utenti interessati dalla perturbazione del servizio
essenziale;
b) la durata dell’incidente;
c) la diffusione geografica relativamente all’area interessata dall’incidente.

9. Sulla base delle informazioni fornite nella notifica da parte dell’operatore di servizi essenziali, il CSIRT italiano informa gli eventuali altri Stati membri interessati in cui l’incidente ha un impatto rilevante sulla continuita’ dei servizi essenziali.

10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente al diritto dell’Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell’operatore di servizi essenziali, nonche’ la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall’articolo 1, comma 5.

11. Ove le circostanze lo consentano, il CSIRT italiano fornisce all’operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonche’ le informazioni che possono facilitare un trattamento efficace dell’incidente.

12. Su richiesta dell’autorita’ competente NIS o del CSIRT italiano, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati.

13. Previa valutazione da parte dell’organo di cui al comma 6, l’autorita’ competente NIS, d’intesa con il CSIRT italiano, dopo aver consultato l’operatore dei servizi essenziali notificante, puo’ informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso.

14. Dall’attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci.

Torna all’indice

it_ITItaliano
en_USEnglish it_ITItaliano