Presidenza del consiglio dei ministri
Logo Normattiva

Normattiva - Il portale della legge vigente
Ricerca avanzata

vigente al

Mostra Atto Originario
Mostra Atto Multivigente

DECRETO LEGISLATIVO 18 maggio 2018, n. 65

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione. (18G00092)

note: Entrata in vigore del provvedimento: 24/06/2018 (Ultimo aggiornamento all'atto pubblicato il 04/08/2021)
(GU n.132 del 09-06-2018)
  • Allegati
articolo precedente articolo successivo 
Testo in vigore dal: 5-8-2021
aggiornamenti all'articolo 
                               Art. 12 
 
     Obblighi in materia di sicurezza e notifica degli incidenti 
 
  1. Gli operatori di servizi essenziali adottano misure  tecniche  e
organizzative adeguate e proporzionate alla gestione dei rischi posti
alla sicurezza della rete e dei sistemi  informativi  che  utilizzano
nelle loro operazioni. Tenuto conto delle conoscenze piu'  aggiornate
in materia, dette misure assicurano un  livello  di  sicurezza  della
rete e dei sistemi informativi adeguato al rischio esistente. 
  2. Gli operatori di servizi essenziali adottano misure adeguate per
prevenire  e  minimizzare  l'impatto  di  incidenti  a  carico  della
sicurezza della rete e dei  sistemi  informativi  utilizzati  per  la
fornitura  dei  servizi  essenziali,  al  fine   di   assicurare   la
continuita' di tali servizi. 
  3. Nell'adozione delle misure di cui ai commi 1 e 2, gli  operatori
di servizi essenziali tengono conto delle linee guida predisposte dal
gruppo di cooperazione di cui all'articolo 10,  nonche'  delle  linee
guida di cui al comma 7. 
  4. Fatto salvo quanto previsto dai commi 1, 2  e  3,  le  autorita'
competenti NIS possono, se necessario,  definire  specifiche  misure,
sentiti gli operatori di servizi essenziali. ((4)) 
  5. Gli operatori di servizi essenziali notificano al CSIRT italiano
senza  ingiustificato  ritardo,  gli  incidenti  aventi  un   impatto
rilevante sulla continuita' dei servizi essenziali forniti. 
  6.  Il  CSIRT  italiano  inoltra   tempestivamente   le   notifiche
all'organo istituito  presso  il  Dipartimento  informazioni  per  la
sicurezza incaricato, ai sensi delle  direttive  del  Presidente  del
Consiglio dei ministri adottate sentito il Comitato interministeriale
per  la  cybersicurezza  (CIC),  delle  attivita'  di  prevenzione  e
preparazione ad eventuali situazioni di crisi e di attivazione  delle
procedure di allertamento. (4) 
  7. Le notifiche includono le informazioni che consentono  al  CSIRT
italiano  di  determinare  un  eventuale   impatto   transfrontaliero
dell'incidente. La notifica non espone la parte che la effettua a una
maggiore responsabilita' rispetto a quella derivante  dall'incidente.
Le autorita' competenti NIS possono predisporre linee  guida  per  la
notifica degli incidenti. ((4)) 
  8. Per determinare la rilevanza dell'impatto  di  un  incidente  si
tiene conto in particolare dei seguenti parametri: 
  a) il numero di utenti interessati dalla perturbazione del servizio
essenziale; 
  b) la durata dell'incidente; 
  c) la  diffusione  geografica  relativamente  all'area  interessata
dall'incidente. 
  9. Sulla base delle informazioni fornite nella  notifica  da  parte
dell'operatore di servizi essenziali, il CSIRT italiano  informa  gli
eventuali altri Stati membri interessati in  cui  l'incidente  ha  un
impatto rilevante sulla continuita' dei servizi essenziali. 
  10 Ai fini del comma 9, il CSIRT italiano  preserva,  conformemente
al diritto dell'Unione europea  e  alla  legislazione  nazionale,  la
sicurezza e  gli  interessi  commerciali  dell'operatore  di  servizi
essenziali, nonche' la riservatezza delle informazioni fornite  nella
notifica secondo quanto previsto dall'articolo 1, comma 5. 
  11. Ove le circostanze lo consentano, il  CSIRT  italiano  fornisce
all'operatore di servizi essenziali, che  effettua  la  notifica,  le
pertinenti informazioni relative al seguito  della  notifica  stessa,
nonche'  le  informazioni  che  possono  facilitare  un   trattamento
efficace dell'incidente. 
  12.  Su  richiesta  dell'autorita'  competente  NIS  o  del   CSIRT
italiano, il punto di contatto unico trasmette, previa  verifica  dei
presupposti, le notifiche ai punti  di  contatto  unici  degli  altri
Stati membri interessati. ((4)) 
  13. Previa valutazione da parte dell'organo  di  cui  al  comma  6,
l'autorita' competente NIS, d'intesa con il CSIRT italiano, dopo aver
consultato  l'operatore  dei  servizi  essenziali  notificante,  puo'
informare il pubblico in merito ai singoli incidenti, qualora ne  sia
necessaria la sensibilizzazione per evitare un incidente o gestire un
incidente in corso. ((4)) 
  14. Dall'attuazione del presente articolo non devono derivare nuovi
o maggiori oneri a carico della finanza pubblica.  Gli  operatori  di
servizi essenziali provvedono agli adempimenti previsti dal  presente
articolo a valere sulle risorse finanziarie  disponibili  sui  propri
bilanci. 
 
--------------- 
AGGIORNAMENTO (4) 
  Il D.L. 14 giugno 2021, n. 82, convertito con  modificazioni  dalla
L. 4 agosto 2021, n. 109,  ha  disposto  (con  l'art.  15,  comma  2,
lettera c)) che "Nel decreto legislativo NIS: [...] 
  b) ogni  riferimento  al  DIS,  ovunque  ricorra,  deve  intendersi
riferito all'Agenzia per la cybersicurezza nazionale; 
  c) ogni riferimento alle autorita' competenti NIS, ovunque ricorra,
deve intendersi  riferito  all'autorita'  nazionale  competente  NIS,
fatta eccezione per le disposizioni di cui all'articolo 5,  comma  1,
del medesimo decreto legislativo, come modificato  dalla  lettera  d)
del presente comma". 


						
			

				
					
					
						
							
						
						articolo precedente
					
					
					
				
				
					
						
							articolo successivo