                               Art. 5 
 
                       Incidenti significativi 
 
  1. I parametri che definiscono la significativita' di un  incidente
di sicurezza sono la durata del disservizio e  la  percentuale  degli
utenti colpiti rispetto al totale degli utenti nazionali del servizio
interessato. 
  2. In attuazione dei parametri di cui  all'art.  3,  comma  2,  gli
incidenti sono da considerarsi significativi, nei seguenti casi: 
  a) durata superiore ad un'ora e percentuale  degli  utenti  colpiti
superiore al quindici per cento del totale degli utenti nazionali del
servizio interessato; 
  b) durata superiore a due ore e percentuale  degli  utenti  colpiti
superiore al dieci per cento del totale degli  utenti  nazionali  del
servizio interessato; 
  c) durata superiore  a  quattro  ore  e  percentuale  degli  utenti
colpiti superiore  al  cinque  per  cento  del  totale  degli  utenti
nazionali del servizio interessato; 
  d) durata superiore a sei ore e percentuale  degli  utenti  colpiti
superiore al due per cento del  totale  degli  utenti  nazionali  del
servizio interessato; 
  e) durata superiore ad otto ore e percentuale degli utenti  colpiti
superiore all'uno per cento del totale  degli  utenti  nazionali  del
servizio interessato. 
  3. Nei  casi  di  cui  al  comma  2,  i  fornitori  di  servizi  di
comunicazione elettronica segnalano  tempestivamente  l'incidente  al
CSIRT di cui all'art. 8 del decreto legislativo 18 maggio 2018, n. 65
e all'ISCTI. La comunicazione e' effettuata  entro  ventiquattro  ore
dall'avvenuta rilevazione dell'incidente,  con  l'indicazione  almeno
delle seguenti informazioni, qualora disponibili: 
  a) servizio interessato; 
  b) durata dell'incidente qualora concluso, ovvero  la  stima  della
conclusione se ancora in corso; 
  c) impatto stimato sull'utenza del servizio interessato in  termini
percentuali rispetto alla base di utenti nazionale  per  il  medesimo
servizio. 
  4. Entro cinque giorni dalla segnalazione di  cui  al  comma  3,  i
fornitori di servizi  di  comunicazione  elettronica  trasmettono  al
CSIRT e all'ISCTI un rapporto in cui sono riportati: 
  a) descrizione dell'incidente; 
  b) causa dell'incidente quale, a titolo  meramente  esemplificativo
ma non esaustivo, errore umano,  guasto,  fenomeno  naturale,  azioni
malevoli, guasti causati da terze parti; 
  c) conseguenze sul servizio fornito; 
  d) infrastrutture e sistemi colpiti; 
  e) impatto sulle interconnessioni a livello nazionale; 
  f) azioni di risposta per mitigare l'impatto dell'incidente; 
  g) azioni per ridurre la probabilita' del ripetersi  dell'incidente
o di incidenti simili. 
  Eventuali informazioni rilevanti emerse  successivamente  all'invio
del suddetto rapporto saranno  oggetto  di  un  rapporto  integrativo
trasmesso con la massima sollecitudine al CSIRT e all'ISCTI. 
  5. L'ISCTI inoltra tempestivamente le comunicazioni di cui ai commi
3 e 4 all'organo di cui all'art. 12, comma 6, del decreto legislativo
18 maggio 2018, n. 65. 
  6. L'ISCTI invia all'Agenzia ENISA e alla Commissione  europea  con
periodicita' annuale un report sugli incidenti segnalati,  contenente
le informazioni di cui ai  commi  3  e  4,  senza  l'indicazione  dei
fornitori di reti e servizi di comunicazione elettronica interessati. 
  7. Nei casi in cui gli incidenti di cui al comma 3 possono avere un
impatto su reti e servizi di un altro Stato membro,  i  fornitori  di
reti e servizi di comunicazione elettronica informano tempestivamente
il CSIRT e l'ISCTI per la successiva  notifica  all'Agenzia  ENISA  e
all'Autorita' dello Stato membro interessato.