Art. 11 
 
                          Operatori privati 
 
  1.  Gli  operatori  privati  che  forniscono  reti   pubbliche   di
comunicazione o servizi di comunicazione elettronica  accessibili  al
pubblico, gli operatori  di  servizi  essenziali  e  i  fornitori  di
servizi digitali, di cui rispettivamente all'art. 2, comma 1, lettere
p) e q), quelli che gestiscono  infrastrutture  critiche  di  rilievo
nazionale  ed  europeo,  il   cui   funzionamento   e'   condizionato
dall'operativita' di sistemi informatici e telematici,  ivi  comprese
quelle individuate ai sensi dell'art. 1, comma  1,  lettera  d),  del
decreto del Ministro dell'interno  9  gennaio  2008,  secondo  quanto
previsto dalla normativa vigente, ovvero previa apposita convenzione: 
    a) comunicano al Nucleo per la sicurezza cibernetica,  anche  per
il tramite dei soggetti istituzionalmente competenti  a  ricevere  le
relative comunicazioni ai sensi dell'art. 16-bis,  comma  2,  lettera
b), del decreto legislativo  n.  259  del  2003,  ogni  significativa
violazione della  sicurezza  o  dell'integrita'  dei  propri  sistemi
informatici, utilizzando canali di trasmissione protetti; 
    b)  adottano  le  best  practices   e   le   misure   finalizzate
all'obiettivo  della  sicurezza  cibernetica,   definite   ai   sensi
dell'art. 16-bis, comma 1, lettera a), del decreto legislativo n. 259
del 2003, e dell'art. 5, comma 2, lettera d), del presente decreto; 
    c) forniscono informazioni agli organismi di informazione per  la
sicurezza e consentono  ad  essi  l'accesso  ai  Security  Operations
Center  aziendali  e  ad  altri  eventuali  archivi  informatici   di
specifico  interesse  ai  fini  della   sicurezza   cibernetica,   di
rispettiva pertinenza, nei casi previsti dalla legge n. 124 del 2007,
nel quadro delle vigenti procedure d'accesso coordinato definite  dal
DIS; 
    d)   collaborano   alla   gestione   delle   crisi   cibernetiche
contribuendo al ripristino della funzionalita' dei  sistemi  e  delle
reti da essi gestiti. 
  2. Il Ministro dello  sviluppo  economico,  fermo  restando  quanto
previsto dal regolamento di cui all'art.  4,  comma  3,  lettera  l),
della legge n. 124 del 2007, promuove l'istituzione di un  centro  di
valutazione  e  certificazione  nazionale  per  la   verifica   delle
condizioni di sicurezza e dell'assenza di vulnerabilita' di prodotti,
apparati  e  sistemi  destinati   ad   essere   utilizzati   per   il
funzionamento di reti, servizi e infrastrutture critiche, di  cui  al
comma 1,  nonche'  di  ogni  altro  operatore  per  cui  sussista  un
interesse nazionale. 
  3. Ferme restando le  conseguenze  derivanti  dalla  violazione  di
altri specifici obblighi di legge,  la  mancata  comunicazione  degli
eventi di cui al comma 1, lettera a), e' altresi'  valutata  ai  fini
dell'affidabilita' richiesta per il possesso  delle  abilitazioni  di
sicurezza di cui al regolamento adottato ai sensi dell'art. 4,  comma
3, lettera l), della legge n. 124 del 2007.