Art. 14
Sicurezza e integrita' e attuazione e controllo
1. Dopo l'articolo 16, del decreto legislativo 1° agosto 2003, n.
259, sono inseriti i seguenti:
"Art. 16-bis (Sicurezza e integrita'). - 1. Fatte salve le
competenze dell'Autorita' previste dall'articolo 1, comma 6, lettera
a), numero 3), della legge 31 luglio 1997, n. 249, il Ministero,
sentite le imprese che forniscono reti pubbliche di comunicazioni o
servizi di comunicazione elettronica accessibili al pubblico e tenuto
conto delle misure tecniche di attuazione eventualmente adottate
dalla Commissione europea, ai sensi dell'articolo 13-bis, comma 4,
della direttiva 2002/21/CE, individua:
a) adeguate misure di natura tecnica e organizzativa per assicurare
la sicurezza delle reti e dei servizi di comunicazione elettronica
accessibili al pubblico, nonche' per garantire l'integrita' delle
reti. Tali misure sono anche finalizzate a prevenire e limitare le
conseguenze per gli utenti e le reti interconnesse degli incidenti
che pregiudicano la sicurezza;
b) i casi in cui le violazioni della sicurezza o perdita
dell'integrita' siano da considerarsi significative ai fini del
corretto funzionamento delle reti o dei servizi.
2. Le imprese che forniscono reti pubbliche di comunicazioni o
servizi di comunicazione elettronica accessibili al pubblico:
a) adottano le misure individuate dal Ministero di cui al comma 1,
lettera a), al fine di conseguire un livello di sicurezza delle reti
adeguato al rischio esistente, e di garantire la continuita' della
fornitura dei servizi su tali reti;
b) comunicano al Ministero ogni significativa violazione della
sicurezza o perdita dell'integrita' secondo quanto previsto al comma
1, lettera b).
3. Nei casi di cui al comma 2, lettera b), il Ministero informa le
altre autorita' nazionali eventualmente interessate per le relative
iniziative di competenza, e, se del caso, informa le autorita' degli
altri Stati membri nonche' l'ENISA.
4. Il Ministero, anche su impulso dell'Autorita', puo' informare il
pubblico o imporre all'impresa di farlo, ove accerti che la
divulgazione della violazione di cui al comma 2, lettera b), sia
nell'interesse pubblico. Anche a tal fine, presso il Ministero e'
individuato il Computer Emergency Response Team (CERT) nazionale,
avvalendosi delle risorse umane, strumentali e finanziarie e
disponibili, con compiti di assistenza tecnica in caso di
segnalazioni da parte di utenti e di diffusione di informazioni anche
riguardanti le contromisure adeguate per i tipi piu' comuni di
incidente.
5. Il Ministero trasmette ogni anno alla Commissione europea e
all'ENISA una relazione sintetica delle notifiche ricevute e delle
azioni adottate conformemente al presente articolo.
«Art. 16-ter (Attuazione e controllo). - 1. Le misure adottate ai
fini dell'attuazione del presente articolo e dell'articolo 16-bis
sono approvate con decreto del Ministro dello sviluppo economico.
2. Ai fini del controllo del rispetto dell'articolo 16-bis le
imprese che forniscono reti pubbliche di comunicazioni o servizi di
comunicazione elettronica accessibili al pubblico sono tenute a:
a) fornire al Ministero, e se necessario all'Autorita', le
informazioni necessarie per valutare la sicurezza e l'integrita' dei
loro servizi e delle loro reti, in particolare i documenti relativi
alle politiche di sicurezza; nonche';
b) sottostare a una verifica della sicurezza effettuata dal
Ministero, anche su impulso dell'Autorita', in collaborazione con gli
Ispettorati territoriali del Ministero dello sviluppo economico, o da
un organismo qualificato indipendente designato dal Ministero.
L'impresa si assume l'onere finanziario della verifica.
3. Il Ministero e l'Autorita' hanno la facolta' di indagare i casi
di mancata conformita' nonche' i loro effetti sulla sicurezza e
l'integrita' delle reti.
4. Nel caso in cui il Ministero riscontri, anche su indicazione
dell'Autorita', il mancato rispetto degli articoli 16-bis o 16-ter
ovvero delle disposizioni attuative previste dal comma 1 da parte
delle imprese che forniscono reti pubbliche di comunicazioni o
servizi di comunicazione elettronica accessibili al pubblico, si
applicano le sanzioni di cui all'articolo 98, commi da 4 a 12.".