DECRETO LEGISLATIVO 18 maggio 2018, n. 65

Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione. (18G00092)

note: Entrata in vigore del provvedimento: 24/06/2018 (Ultimo aggiornamento all'atto pubblicato il 04/08/2021)

(GU n.132 del 09-06-2018) visualizza atto intero

nascondi

Articoli
Capo I
Disposizioni generali
1
agg.1
orig.
2
3
agg.1
orig.
4
agg.2
agg.1
orig.
5
orig.
Capo II
Contesto strategico e istituzionale
6
orig.
7
agg.1
orig.
8
agg.4
agg.3
agg.2
agg.1
orig.
9
agg.2
agg.1
orig.
Capo III
Cooperazione
10
agg.1
orig.
11
Capo IV
Sicurezza della rete e dei sistemi informativi degli operatori di servizi essenziali
12
agg.1
orig.
13
agg.1
orig.
Capo V
Sicurezza della rete e dei sistemi informativi dei fornitori di servizi digitali
14
agg.1
orig.
15
agg.1
orig.
16
Capo VI
Normazione e notifica volontaria
17
agg.1
orig.
18
Capo VII
Disposizioni finali
19
orig.
20
orig.
21
22

Allegati

Allegato I
Allegato I
orig.
Allegato II
Allegato II
Allegato III
Allegato III

articolo precedente articolo successivo

Testo in vigore dal: 5-8-2021

aggiornamenti all'articolo

Art. 12

Obblighi in materia di sicurezza e notifica degli incidenti

1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

3. Nell'adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all'articolo 10, nonché delle linee guida di cui al comma 7.

4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorità competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali.

((4))

5. Gli operatori di servizi essenziali notificano al CSIRT italiano senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.

6. Il CSIRT italiano inoltra tempestivamente le notifiche all'organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la cybersicurezza (CIC), delle attività di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento. (4)

7. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell'incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità rispetto a quella derivante dall'incidente.
Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti.

((4))

8. Per determinare la rilevanza dell'impatto di un incidente si tiene conto in particolare dei seguenti parametri:

a) il numero di utenti interessati dalla perturbazione del servizio essenziale;

b) la durata dell'incidente;

c) la diffusione geografica relativamente all'area interessata dall'incidente.

9. Sulla base delle informazioni fornite nella notifica da parte dell'operatore di servizi essenziali, il CSIRT italiano informa gli eventuali altri Stati membri interessati in cui l'incidente ha un impatto rilevante sulla continuità dei servizi essenziali.
10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente al diritto dell'Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell'operatore di servizi essenziali, nonché la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall'articolo 1, comma 5.
11. Ove le circostanze lo consentano, il CSIRT italiano fornisce all'operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonché le informazioni che possono facilitare un trattamento efficace dell'incidente.
12. Su richiesta dell'autorità competente NIS o del CSIRT italiano, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati.

((4))

13. Previa valutazione da parte dell'organo di cui al comma 6, l'autorità competente NIS, d'intesa con il CSIRT italiano, dopo aver consultato l'operatore dei servizi essenziali notificante, può informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso.

((4))

14. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci.

---------------

AGGIORNAMENTO (4)

Il D.L. 14 giugno 2021, n. 82, convertito con modificazioni dalla L. 4 agosto 2021, n. 109, ha disposto (con l'art. 15, comma 2, lettera c)) che "Nel decreto legislativo NIS: [...]
b) ogni riferimento al DIS, ovunque ricorra, deve intendersi riferito all'Agenzia per la cybersicurezza nazionale;
c) ogni riferimento alle autorità competenti NIS, ovunque ricorra, deve intendersi riferito all'autorità nazionale competente NIS, fatta eccezione per le disposizioni di cui all'articolo 5, comma 1, del medesimo decreto legislativo, come modificato dalla lettera d) del presente comma".

articolo precedente articolo successivo

nascondi