Art. 5 Incidenti significativi 1. I parametri che definiscono la significativita' di un incidente di sicurezza sono la durata del disservizio e la percentuale degli utenti colpiti rispetto al totale degli utenti nazionali del servizio interessato. 2. In attuazione dei parametri di cui all'art. 3, comma 2, gli incidenti sono da considerarsi significativi, nei seguenti casi: a) durata superiore ad un'ora e percentuale degli utenti colpiti superiore al quindici per cento del totale degli utenti nazionali del servizio interessato; b) durata superiore a due ore e percentuale degli utenti colpiti superiore al dieci per cento del totale degli utenti nazionali del servizio interessato; c) durata superiore a quattro ore e percentuale degli utenti colpiti superiore al cinque per cento del totale degli utenti nazionali del servizio interessato; d) durata superiore a sei ore e percentuale degli utenti colpiti superiore al due per cento del totale degli utenti nazionali del servizio interessato; e) durata superiore ad otto ore e percentuale degli utenti colpiti superiore all'uno per cento del totale degli utenti nazionali del servizio interessato. 3. Nei casi di cui al comma 2, i fornitori di servizi di comunicazione elettronica segnalano tempestivamente l'incidente al CSIRT di cui all'art. 8 del decreto legislativo 18 maggio 2018, n. 65 e all'ISCTI. La comunicazione e' effettuata entro ventiquattro ore dall'avvenuta rilevazione dell'incidente, con l'indicazione almeno delle seguenti informazioni, qualora disponibili: a) servizio interessato; b) durata dell'incidente qualora concluso, ovvero la stima della conclusione se ancora in corso; c) impatto stimato sull'utenza del servizio interessato in termini percentuali rispetto alla base di utenti nazionale per il medesimo servizio. 4. Entro cinque giorni dalla segnalazione di cui al comma 3, i fornitori di servizi di comunicazione elettronica trasmettono al CSIRT e all'ISCTI un rapporto in cui sono riportati: a) descrizione dell'incidente; b) causa dell'incidente quale, a titolo meramente esemplificativo ma non esaustivo, errore umano, guasto, fenomeno naturale, azioni malevoli, guasti causati da terze parti; c) conseguenze sul servizio fornito; d) infrastrutture e sistemi colpiti; e) impatto sulle interconnessioni a livello nazionale; f) azioni di risposta per mitigare l'impatto dell'incidente; g) azioni per ridurre la probabilita' del ripetersi dell'incidente o di incidenti simili. Eventuali informazioni rilevanti emerse successivamente all'invio del suddetto rapporto saranno oggetto di un rapporto integrativo trasmesso con la massima sollecitudine al CSIRT e all'ISCTI. 5. L'ISCTI inoltra tempestivamente le comunicazioni di cui ai commi 3 e 4 all'organo di cui all'art. 12, comma 6, del decreto legislativo 18 maggio 2018, n. 65. 6. L'ISCTI invia all'Agenzia ENISA e alla Commissione europea con periodicita' annuale un report sugli incidenti segnalati, contenente le informazioni di cui ai commi 3 e 4, senza l'indicazione dei fornitori di reti e servizi di comunicazione elettronica interessati. 7. Nei casi in cui gli incidenti di cui al comma 3 possono avere un impatto su reti e servizi di un altro Stato membro, i fornitori di reti e servizi di comunicazione elettronica informano tempestivamente il CSIRT e l'ISCTI per la successiva notifica all'Agenzia ENISA e all'Autorita' dello Stato membro interessato.