Art. 7
Identificazione ed elencazione dei soggetti essenziali e dei soggetti
importanti
1. Dal 1° gennaio al 28 febbraio di ogni anno successivo alla data
di entrata in vigore del presente decreto, i soggetti di cui
all'articolo 3, si registrano o aggiornano la propria registrazione
sulla piattaforma digitale resa disponibile dall'Autorita' nazionale
competente NIS ai fini dello svolgimento delle funzioni attribuite
all'Agenzia per la cybersicurezza nazionale anche ai sensi del
presente decreto. A tal fine, tali soggetti forniscono o aggiornano
almeno le informazioni seguenti:
a) la ragione sociale;
b) l'indirizzo e i recapiti aggiornati, compresi gli indirizzi
e-mail e i numeri di telefono;
c) la designazione di un punto di contatto, indicando il ruolo
presso il soggetto e i recapiti aggiornati, compresi gli indirizzi
e-mail e i numeri di telefono;
d) ove applicabile, i pertinenti settori, sottosettori e
tipologie di soggetto di cui agli allegati I, II, III e IV;
2. Entro il 31 marzo di ogni anno successivo alla data di entrata
in vigore del presente decreto, l'Autorita' nazionale competente NIS,
redige, secondo le modalita' di cui all'articolo 40, comma 5,
l'elenco dei soggetti essenziali e dei soggetti importanti, sulla
base delle registrazioni di cui al comma 1 e delle decisioni adottate
ai sensi degli articoli 3, 4, e 6.
3. Tramite la piattaforma digitale di cui al comma 1, l'Autorita'
nazionale competente NIS comunica ai soggetti registrati di cui al
comma 2:
a) l'inserimento nell'elenco dei soggetti essenziali o
importanti;
b) la permanenza nell'elenco dei soggetti essenziali o
importanti;
c) l'espunzione dall'elenco dei soggetti.
4. Dal 15 aprile al 31 maggio di ogni anno successivo alla data di
entrata in vigore del presente decreto, tramite la piattaforma
digitale di cui al comma 1, i soggetti che hanno ricevuto la
comunicazione di cui al comma 3, lettere a) e b), forniscono o
aggiornano almeno le informazioni seguenti:
a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in
uso o nella disponibilita' del soggetto;
b) ove applicabile, l'elenco degli Stati membri in cui forniscono
servizi che rientrano nell'ambito di applicazione del presente
decreto;
c) i responsabili di cui all'articolo 38, comma 5, indicando il
ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli
indirizzi e-mail e i numeri di telefono;
d) un sostituto del punto di contatto di cui al comma 1, lettera
c), indicando il ruolo presso il soggetto e i recapiti aggiornati,
compresi gli indirizzi e-mail e i numeri di telefono.
5. I fornitori di servizi di sistema dei nomi di dominio, i gestori
di registri dei nomi di dominio di primo livello, i fornitori di
servizi di registrazione dei nomi di dominio, i fornitori di servizi
di cloud computing, i fornitori di servizi di data center, i
fornitori di reti di distribuzione dei contenuti, i fornitori di
servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche'
i fornitori di mercati online, i fornitori di motori di ricerca
online e i fornitori di piattaforme di social network, forniscono
all'Autorita' nazionale competente NIS, secondo le modalita' di cui
al comma 4, anche:
a) l'indirizzo della sede principale e delle altre sedi del
soggetto nell'Unione europea;
b) se non e' stabilito nell'Unione europea, l'indirizzo della
sede del suo rappresentante ai sensi dell'articolo 5, comma 3,
unitamente ai dati di contatto aggiornati, compresi gli indirizzi
e-mail e i numeri di telefono.
6. L'Autorita' nazionale competente NIS stabilisce, secondo le
modalita' di cui all'articolo 40, comma 5, i termini, le modalita' e
i procedimenti di utilizzo e accesso alla piattaforma digitale di cui
al comma 1, indicando altresi' eventuali ulteriori informazioni che i
soggetti devono fornire ai sensi dei commi 1 e 4, nonche' i termini,
le modalita' e i procedimenti di designazione dei rappresentanti di
cui all'articolo 5, comma 3.
7. I soggetti che hanno ricevuto la comunicazione di cui al comma
3, lettere a) e b), notificano all'Autorita' nazionale competente
NIS, tramite la piattaforma digitale di cui al comma 1, qualsiasi
modifica delle informazioni trasmesse ai sensi del presente articolo
tempestivamente e, in ogni caso, entro quattordici giorni dalla data
della modifica.