Art. 3 Notifica degli incidenti aventi impatto su beni ICT 1. Dal 1° gennaio 2022, i soggetti inclusi nel perimetro, al verificarsi di uno degli incidenti avente impatto su un bene ICT di rispettiva pertinenza individuati nelle tabelle di cui all'allegato A, procedono alla notifica al CSIRT italiano secondo le modalita' di cui al presente regolamento. 2. Dalla data di trasmissione degli elenchi dei beni ICT effettuata ai sensi dell'articolo 1, comma 2, lettera b), del decreto-legge, ovvero, qualora la trasmissione sia avvenuta in una data antecedente a quella di entrata in vigore del presente regolamento, da quest'ultima data, e sino al 31 dicembre 2021, i soggetti inclusi nel perimetro procedono, in via sperimentale, alle notifiche di cui al comma 1, secondo le modalita' di cui al comma 4. 3. I soggetti inclusi nel perimetro procedono alla notifica di cui ai commi 1 e 2 anche nei casi in cui uno degli incidenti individuati nelle tabelle di cui all'allegato A si verifichi a carico di un sistema informativo o un servizio informatico, o parti di essi, che, anche in esito all'analisi del rischio di cui all'articolo 7, comma 2, del DPCM n. 131 del 2020, condivide con un bene ICT funzioni di sicurezza, risorse di calcolo o memoria, ovvero software di base, quali sistemi operativi e di virtualizzazione. 4. I soggetti inclusi nel perimetro effettuano la notifica di cui ai commi 1, 2 e 3 entro sei ore, qualora si tratti di un incidente individuato nella tabella 1 dell'allegato A, ed entro un'ora, qualora si tratti di un incidente individuato nella tabella 2 del medesimo allegato. I predetti termini decorrono dal momento in cui i soggetti inclusi nel perimetro sono venuti a conoscenza, a seguito delle evidenze ottenute, anche mediante le attivita' di monitoraggio, test e controllo di cui all'articolo 1, comma 3, lettera b), numero 6, del decreto-legge, effettuate sulla base delle misure di sicurezza di cui all'allegato B, di un incidente riconducibile a una delle tipologie individuate nell'allegato A. La notifica e' effettuata tramite appositi canali di comunicazione del CSIRT italiano aventi i requisiti di cui al punto 1, lettera a), dell'allegato I, del decreto legislativo n. 65 del 2018, e secondo le modalita' definite dal CSIRT italiano e rese disponibili sul sito Internet del CSIRT italiano. 5. Qualora il soggetto incluso nel perimetro venga a conoscenza di nuovi elementi significativi, tra cui le specifiche vulnerabilita' sfruttate, la rilevazione di eventi comunque correlati all'incidente oggetto di notifica, ovvero gli indicatori di compromissione (IOC) rilevati, la notifica di cui al comma 1 e' integrata tempestivamente dal momento in cui il soggetto incluso nel perimetro ne e' venuto a conoscenza, salvo che l'autorita' giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa. 6. Dal 1° gennaio 2022, i soggetti di cui agli articoli 12 e 14 del decreto legislativo n. 65 del 2018, con la notifica di cui al presente articolo comunicano che la stessa, ai sensi dell'articolo 1, comma 8, lettera b), del decreto-legge, costituisce anche adempimento dell'obbligo di notifica di cui, rispettivamente, agli articoli 12, comma 5, indicando a tal fine l'autorita' competente NIS di cui all'articolo 7 del decreto legislativo n. 65 del 2018 alla quale la notifica deve essere inoltrata, e 14, comma 4, del decreto legislativo n. 65 del 2018. I soggetti di cui all'articolo 16-ter, comma 2, del decreto legislativo n. 259 del 2003, con la notifica di cui al presente articolo, comunicano che la stessa, ai sensi dell'articolo 1, comma 8, lettera b), del decreto-legge, costituisce anche adempimento dell'obbligo previsto ai sensi dell'articolo 16-ter del decreto legislativo n. 259 del 2003 e delle correlate disposizioni attuative. Restano fermi, per le notifiche degli incidenti non rientranti nell'ambito di applicazione del decreto-legge, gli obblighi e le procedure di notifica previsti dal decreto legislativo n. 65 del 2018 e dal decreto legislativo n. 259 del 2003. 7. Su richiesta del CSIRT italiano, il soggetto incluso nel perimetro che ha proceduto a effettuare una notifica ai sensi dei commi 1, 2 e 3 provvede, tramite i canali di comunicazione di cui al comma 4 ed entro sei ore dalla richiesta, a effettuare un aggiornamento della notifica, salvo che l'autorita' giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa. 8. Una volta definiti e avviati i piani di attuazione delle attivita' per il ripristino dei beni ICT impattati dall'incidente oggetto di notifica, il soggetto incluso nel perimetro che ha proceduto a effettuare una notifica ai sensi dei commi 1, 2 e 3, tramite i canali di comunicazione di cui al comma 4, ne da' tempestiva comunicazione al CSIRT italiano e trasmette, altresi', su richiesta del CSIRT italiano ed entro trenta giorni dalla stessa richiesta, una relazione tecnica che illustra gli elementi significativi dell'incidente, tra cui le conseguenze dell'impatto sui beni ICT derivanti dall'incidente e le azioni intraprese per porvi rimedio, salvo che l'autorita' giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa. 9. I soggetti inclusi nel perimetro assicurano che dell'avvenuta notifica sia fornita notizia all'articolazione per l'implementazione del perimetro prevista nell'ambito delle misure di sicurezza di cui alla sottocategoria 2.1.4 (ID.AM-6) dell'allegato B, ed in particolare all'incaricato e al referente tecnico di cui alla medesima sottocategoria. 10. Sino al 31 dicembre 2021, restano fermi per i soggetti inclusi nel perimetro, che effettuano, ai sensi del comma 2, le notifiche in via sperimentale, gli obblighi di notifica di cui agli articoli 12, comma 5, e 14, comma 4, del decreto legislativo n. 65 del 2018, nonche' quelli previsti ai sensi dell'articolo 16-ter del decreto legislativo n. 259 del 2003 e delle correlate disposizioni attuative.
Note all'art. 3: - Si riporta il testo del comma 2 dell'articolo 7 del citato decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131: «Art. 7. (Definizione dei criteri per la predisposizione e l'aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici). - 1. (Omissis). 2. Ricevuta la comunicazione prevista dall'articolo 1, comma 2-bis), secondo periodo, del decreto-legge, i soggetti inclusi nel perimetro, in esito all'analisi del rischio, per ogni funzione essenziale o servizio essenziale di cui all'articolo 4, comma 1, lettera c), provvedono: a) ad individuare i beni ICT necessari a svolgere la funzione essenziale o il servizio essenziale. A tale fine sono valutati: 1) l'impatto di un incidente sul bene ICT, in termini sia di limitazione della operativita' del bene stesso, sia di compromissione della disponibilita', integrita', o riservatezza dei dati e delle informazioni da esso trattati, ai fini dello svolgimento della funzione o del servizio essenziali; 2) le dipendenze con altre reti, sistemi informativi, servizi informatici o infrastrutture fisiche di pertinenza di altri soggetti, ivi compresi quelli utilizzati per fini di manutenzione e gestione; b) a predisporre l'elenco dei beni ICT di cui all'articolo 1, comma 2, lettera b), del decreto-legge. In fase di prima applicazione e fino all'aggiornamento del presente decreto, ai sensi dell'articolo 1, comma 5, del decreto-legge, sono individuati, all'esito dell'analisi del rischio, in ossequio al principio di gradualita', i beni ICT che, in caso di incidente, causerebbero l'interruzione totale dello svolgimento della funzione essenziale o del servizio essenziale o una compromissione degli stessi con effetti irreversibili sotto il profilo della integrita' o della riservatezza dei dati e delle informazioni. 3. (Omissis).». - Si riporta il testo del punto 1, lettera a), dell'allegato I, del citato decreto legislativo 18 maggio 2018, n. 65: «Allegato I Requisiti e compiti dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) I requisiti e i compiti del CSIRT sono adeguatamente e chiaramente definiti ai sensi del presente decreto e del decreto del Presidente del Consiglio dei ministri di cui all'art. 8, comma 2. Essi includono quanto segue: 1. Requisiti per il CSIRT: a) Il CSIRT garantisce un alto livello di disponibilita' dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano; b). - d). (Omissis).». - Si riporta il testo degli articoli 12 e 14 del citato decreto legislativo 18 maggio 2018, n. 65: «Art. 12. (Obblighi in materia di sicurezza e notifica degli incidenti). - 1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze piu' aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente. 2.Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuita' di tali servizi. 3.Nell'adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all'articolo 10, nonche' delle linee guida di cui al comma 7. 4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorita' competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali. 5. Gli operatori di servizi essenziali notificano al CSIRT italiano e, per conoscenza, all'autorita' competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuita' dei servizi essenziali forniti. 6. Il CSIRT italiano inoltra tempestivamente le notifiche all'organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), delle attivita' di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento. 7. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell'incidente. La notifica non espone la parte che la effettua a una maggiore responsabilita' rispetto a quella derivante dall'incidente. Le autorita' competenti NIS possono predisporre linee guida per la notifica degli incidenti. 8. Per determinare la rilevanza dell'impatto di un incidente si tiene conto in particolare dei seguenti parametri: a) il numero di utenti interessati dalla perturbazione del servizio essenziale; b) la durata dell'incidente; c) la diffusione geografica relativamente all'area interessata dall'incidente. 9. Sulla base delle informazioni fornite nella notifica da parte dell'operatore di servizi essenziali, il CSIRT italiano informa gli eventuali altri Stati membri interessati in cui l'incidente ha un impatto rilevante sulla continuita' dei servizi essenziali. 10. Ai fini del comma 9, il CSIRT italiano preserva, conformemente al diritto dell'Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell'operatore di servizi essenziali, nonche' la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall'articolo 1, comma 5. 11. Ove le circostanze lo consentano, il CSIRT italiano fornisce all'operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonche' le informazioni che possono facilitare un trattamento efficace dell'incidente. 12. Su richiesta dell'autorita' competente NIS o del CSIRT italiano, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati. 13. Previa valutazione da parte dell'organo di cui al comma 6, l'autorita' competente NIS, d'intesa con il CSIRT italiano, dopo aver consultato l'operatore dei servizi essenziali notificante, puo' informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso. 14. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci.» «Art. 14. (Obblighi in materia di sicurezza e notifica degli incidenti). - 1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell'offerta di servizi di cui all'allegato III all'interno dell'Unione europea. 2. Tenuto conto delle conoscenze piu' aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi: a) la sicurezza dei sistemi e degli impianti; b) trattamento degli incidenti; c) gestione della continuita' operativa; d) monitoraggio, audit e test; e) conformita' con le norme internazionali. 3. I fornitori di servizi digitali adottano misure per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all'allegato III offerti all'interno dell'Unione europea, al fine di assicurare la continuita' di tali servizi. 4. I fornitori di servizi digitali notificano al CSIRT italiano e, per conoscenza, all'autorita' competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di un servizio di cui all'allegato III che essi offrono all'interno dell'Unione europea. 5. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare la rilevanza di un eventuale impatto transfrontaliero. La notifica non espone la parte che la effettua a una maggiore responsabilita' rispetto a quella derivante dall'incidente. 6. Il CSIRT italiano inoltra tempestivamente le notifiche all'organo di cui all'articolo 12, comma 6. 7. Al fine di determinare la rilevanza dell'impatto di un incidente, sono tenuti in considerazione, in particolare, i seguenti parametri: a) il numero di utenti interessati dall'incidente, in particolare gli utenti che dipendono dal servizio digitale per la fornitura dei propri servizi; b) la durata dell'incidente; c) la diffusione geografica relativamente all'area interessata dall'incidente; d) la portata della perturbazione del funzionamento del servizio; e) la portata dell'impatto sulle attivita' economiche e sociali. 8. L'obbligo di notificare un incidente si applica soltanto qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l'impatto di un incidente con riferimento ai parametri di cui al comma 7. 9. Qualora un operatore di servizi essenziali dipenda da una terza parte fornitrice di servizi digitali per la fornitura di un servizio che e' indispensabile per il mantenimento di attivita' economiche e sociali fondamentali, l'operatore stesso notifica qualsiasi impatto rilevante per la continuita' di servizi essenziali dovuto ad un incidente a carico di tale operatore. 10. Qualora l'incidente di cui al comma 4 riguardi due o piu' Stati membri, il CSIRT italiano informa gli altri Stati membri coinvolti. 11. Ai fini del comma 9, il CSIRT italiano tutela, nel rispetto del diritto dell'Unione europea e della legislazione nazionale, la sicurezza e gli interessi commerciali del fornitore del servizio digitale nonche' la riservatezza delle informazioni fornite. 12. Previa valutazione da parte dell'organo di cui all'articolo 12, comma 6, l'autorita' competente NIS, d'intesa con il CSIRT italiano, dopo aver consultato il fornitore di servizi digitali interessato e, se del caso, le autorita' competenti o i CSIRT degli altri Stati membri interessati, puo' informare il pubblico riguardo ai singoli incidenti o chiedere al fornitore di servizi digitali di provvedervi, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestirne uno in corso, o qualora sussista comunque un interesse pubblico alla divulgazione dell'incidente. 13. I fornitori di servizi digitali applicano le disposizioni di attuazione degli atti di esecuzione della Commissione europea che specificano ulteriormente le misure tecnico-organizzative di cui al comma 1 e i parametri, ivi compresi formati e procedure, relativi agli obblighi di notifica di cui al comma 4. 14. Fatto salvo quanto previsto dall'articolo 1, comma 7, non sono imposti ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali. 15. Il presente capo non si applica alle microimprese e alle piccole imprese quali definite nella raccomandazione della Commissione europea del 6 maggio 2003, n. 2003/361/CE.». - Si riporta il testo dell'articolo 1, comma 8, lettera b), del citato decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133: «Art. 1. (Perimetro di sicurezza nazionale cibernetica). - 1. - 7. (Omissis). 8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all'articolo 16-ter, comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica: a) (Omissis); b) assolvono l'obbligo di notifica di cui al comma 3, lettera a), che costituisce anche adempimento, rispettivamente, dell'obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell'analogo obbligo previsto ai sensi dell'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a), anche in relazione alle disposizioni di cui all'articolo 16-ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT italiano inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a), all'autorita' competente di cui all'articolo 7 del decreto legislativo 18 maggio 2018, n. 65. 9. - 19-ter. (Omissis).». - Si riporta il testo dell'articolo 16-ter, del citato decreto legislativo 1° agosto 2003, n. 259 (Codice delle comunicazioni elettroniche): «Art. 16-ter (Attuazione e controllo). - 1. Le misure adottate ai fini dell'attuazione del presente articolo e dell'articolo 16-bis sono approvate con decreto del Ministro dello sviluppo economico. 2. Ai fini del controllo del rispetto dell'articolo 16-bis le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono tenute a: a) fornire al Ministero, e se necessario all'Autorita', le informazioni necessarie per valutare la sicurezza e l'integrita' dei loro servizi e delle loro reti, in particolare i documenti relativi alle politiche di sicurezza; nonche'; b) sottostare a una verifica della sicurezza effettuata dal Ministero, anche su impulso dell'Autorita', in collaborazione con gli Ispettorati territoriali del Ministero dello sviluppo economico, o da un organismo qualificato indipendente designato dal Ministero. L'impresa si assume l'onere finanziario della verifica. 3. Il Ministero e l'Autorita' hanno la facolta' di indagare i casi di mancata conformita' nonche' i loro effetti sulla sicurezza e l'integrita' delle reti. 4. Nel caso in cui il Ministero riscontri, anche su indicazione dell'Autorita', il mancato rispetto degli articoli 16-bis o 16-ter ovvero delle disposizioni attuative previste dal comma 1 da parte delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, si applicano le sanzioni di cui all'articolo 98, commi da 4 a 12.».