Articolo 14 D.Lgs. 65/2018 – Attuazione Direttiva NIS

Articolo 14: Obblighi in materia di sicurezza e notifica degli incidenti – D.Lgs. 65/2018 – Attuazione Direttiva NIS

 

1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta di servizi di cui all’allegato III all’interno dell’Unione europea.

2. Tenuto conto delle conoscenze piu’ aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

a) la sicurezza dei sistemi e degli impianti;
b) trattamento degli incidenti;
c) gestione della continuita’ operativa;
d) monitoraggio, audit e test;
e) conformita’ con le norme internazionali.

3. I fornitori di servizi digitali adottano misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all’allegato III offerti all’interno dell’Unione europea, al fine di assicurare la continuita’ di tali servizi.

4. I fornitori di servizi digitali notificano al CSIRT italiano e, per conoscenza, all’autorita’ competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di un servizio di cui all’allegato III che essi offrono all’interno dell’Unione europea.

5. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare la rilevanza di un eventuale impatto transfrontaliero. La notifica non espone la parte che la effettua a una maggiore responsabilita’ rispetto a quella derivante dall’incidente.

6. Il CSIRT italiano inoltra tempestivamente le notifiche all’organo di cui all’articolo 12, comma 6.

7. Al fine di determinare la rilevanza dell’impatto di un incidente, sono tenuti in considerazione, in particolare, i seguenti parametri:

a) il numero di utenti interessati dall’incidente, in particolare gli utenti che dipendono dal servizio digitale per la fornitura dei propri servizi;
b) la durata dell’incidente;
c) la diffusione geografica relativamente all’area interessata dall’incidente;
d) la portata della perturbazione del funzionamento del servizio;
e) la portata dell’impatto sulle attivita’ economiche e sociali.

8. L’obbligo di notificare un incidente si applica soltanto qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l’impatto di un incidente con riferimento ai parametri di cui al comma 7.

9. Qualora un operatore di servizi essenziali dipenda da una terza parte fornitrice di servizi digitali per la fornitura di un servizio che e’ indispensabile per il mantenimento di attivita’ economiche e sociali fondamentali, l’operatore stesso notifica qualsiasi impatto rilevante per la continuita’ di servizi essenziali dovuto ad un incidente a carico di tale operatore.

10. Qualora l’incidente di cui al comma 4 riguardi due o piu’ Stati membri, il CSIRT italiano informa gli altri Stati membri coinvolti.

11. Ai fini del comma 9, il CSIRT italiano tutela, nel rispetto del diritto dell’Unione europea e della legislazione nazionale, la sicurezza e gli interessi commerciali del fornitore del servizio digitale nonche’ la riservatezza delle informazioni fornite.

12. Previa valutazione da parte dell’organo di cui all’articolo 12, comma 6, l’autorita’ competente NIS, d’intesa con il CSIRT italiano, dopo aver consultato il fornitore di servizi digitali interessato e, se del caso, le autorita’ competenti o i CSIRT degli altri Stati membri interessati, puo’ informare il pubblico riguardo ai singoli incidenti o chiedere al fornitore di servizi digitali di provvedervi, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestirne uno in corso, o qualora sussista comunque un interesse pubblico alla divulgazione dell’incidente.

13. I fornitori di servizi digitali applicano le disposizioni di attuazione degli atti di esecuzione della Commissione europea che specificano ulteriormente le misure tecnico-organizzative di cui al comma 1 e i parametri, ivi compresi formati e procedure, relativi agli obblighi di notifica di cui al comma 4.

14. Fatto salvo quanto previsto dall’articolo 1, comma 7, non sono imposti ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali.

15. Il presente capo non si applica alle microimprese e alle piccole imprese quali definite nella raccomandazione della Commissione europea del 6 maggio 2003, n. 2003/361/CE.

Torna all’indice

it_ITItaliano
en_USEnglish it_ITItaliano