Art. 14 

 

				 
           Sicurezza e integrita' e attuazione e controllo 

 
  1. Dopo l'articolo 16, del decreto legislativo 1° agosto  2003,  n.
259, sono inseriti i seguenti: 
  "Art.  16-bis  (Sicurezza  e  integrita').  -  1.  Fatte  salve  le
competenze dell'Autorita' previste dall'articolo 1, comma 6,  lettera
a), numero 3), della legge 31 luglio  1997,  n.  249,  il  Ministero,
sentite le imprese che forniscono reti pubbliche di  comunicazioni  o
servizi di comunicazione elettronica accessibili al pubblico e tenuto
conto delle misure  tecniche  di  attuazione  eventualmente  adottate
dalla Commissione europea, ai sensi dell'articolo  13-bis,  comma  4,
della direttiva 2002/21/CE, individua: 
  a) adeguate misure di natura tecnica e organizzativa per assicurare
la sicurezza delle reti e dei servizi  di  comunicazione  elettronica
accessibili al pubblico, nonche'  per  garantire  l'integrita'  delle
reti. Tali misure sono anche finalizzate a prevenire  e  limitare  le
conseguenze per gli utenti e le reti  interconnesse  degli  incidenti
che pregiudicano la sicurezza; 
  b)  i  casi  in  cui  le  violazioni  della  sicurezza  o   perdita
dell'integrita' siano  da  considerarsi  significative  ai  fini  del
corretto funzionamento delle reti o dei servizi. 
  2. Le imprese che forniscono  reti  pubbliche  di  comunicazioni  o
servizi di comunicazione elettronica accessibili al pubblico: 
  a) adottano le misure individuate dal Ministero di cui al comma  1,
lettera a), al fine di conseguire un livello di sicurezza delle  reti
adeguato al rischio esistente, e di garantire  la  continuita'  della
fornitura dei servizi su tali reti; 
  b) comunicano al  Ministero  ogni  significativa  violazione  della
sicurezza o perdita dell'integrita' secondo quanto previsto al  comma
1, lettera b). 
  3. Nei casi di cui al comma 2, lettera b), il Ministero informa  le
altre autorita' nazionali eventualmente interessate per  le  relative
iniziative di competenza, e, se del caso, informa le autorita'  degli
altri Stati membri nonche' l'ENISA. 
  4. Il Ministero, anche su impulso dell'Autorita', puo' informare il
pubblico  o  imporre  all'impresa  di  farlo,  ove  accerti  che   la
divulgazione della violazione di cui al  comma  2,  lettera  b),  sia
nell'interesse pubblico. Anche a tal fine,  presso  il  Ministero  e'
individuato il Computer Emergency  Response  Team  (CERT)  nazionale,
avvalendosi  delle  risorse  umane,  strumentali  e   finanziarie   e
disponibili,  con  compiti  di  assistenza   tecnica   in   caso   di
segnalazioni da parte di utenti e di diffusione di informazioni anche
riguardanti le contromisure  adeguate  per  i  tipi  piu'  comuni  di
incidente. 
  5. Il Ministero trasmette ogni  anno  alla  Commissione  europea  e
all'ENISA una relazione sintetica delle notifiche  ricevute  e  delle
azioni adottate conformemente al presente articolo. 
  «Art. 16-ter (Attuazione e controllo). - 1. Le misure  adottate  ai
fini dell'attuazione del presente  articolo  e  dell'articolo  16-bis
sono approvate con decreto del Ministro dello sviluppo economico. 
  2. Ai fini del  controllo  del  rispetto  dell'articolo  16-bis  le
imprese che forniscono reti pubbliche di comunicazioni o  servizi  di
comunicazione elettronica accessibili al pubblico sono tenute a: 
   a)  fornire  al  Ministero,  e  se  necessario  all'Autorita',  le
informazioni necessarie per valutare la sicurezza e l'integrita'  dei
loro servizi e delle loro reti, in particolare i  documenti  relativi
alle politiche di sicurezza; nonche'; 
  b)  sottostare  a  una  verifica  della  sicurezza  effettuata  dal
Ministero, anche su impulso dell'Autorita', in collaborazione con gli
Ispettorati territoriali del Ministero dello sviluppo economico, o da
un  organismo  qualificato  indipendente  designato  dal   Ministero.
L'impresa si assume l'onere finanziario della verifica. 
  3. Il Ministero e l'Autorita' hanno la facolta' di indagare i  casi
di mancata conformita' nonche'  i  loro  effetti  sulla  sicurezza  e
l'integrita' delle reti. 
  4. Nel caso in cui il Ministero  riscontri,  anche  su  indicazione
dell'Autorita', il mancato rispetto degli articoli  16-bis  o  16-ter
ovvero delle disposizioni attuative previste dal  comma  1  da  parte
delle imprese  che  forniscono  reti  pubbliche  di  comunicazioni  o
servizi di comunicazione  elettronica  accessibili  al  pubblico,  si
applicano le sanzioni di cui all'articolo 98, commi da 4 a 12.".