                               Art. 16 
 
            Divulgazione coordinata delle vulnerabilita' 
 
  1.  Il  CSIRT  Italia  e'  designato  coordinatore  ai  fini  della
divulgazione coordinata delle vulnerabilita' ai  sensi  dell'articolo
12 della direttiva  (UE)  2022/2555  e  agisce  da  intermediario  di
fiducia agevolando,  se  necessario,  l'interazione  tra  la  persona
fisica o giuridica che segnala la vulnerabilita' e il  fabbricante  o
fornitore di servizi TIC o prodotti TIC  potenzialmente  vulnerabili,
su richiesta di una delle parti. 
  2. I compiti del CSIRT Italia in veste di coordinatore comprendono: 
    a) l'individuazione e il contatto dei soggetti interessati; 
    b) l'assistenza alle persone fisiche o giuridiche  che  segnalano
una vulnerabilita'; 
    c) la negoziazione dei tempi di divulgazione e la gestione  delle
vulnerabilita' che interessano piu' soggetti. 
  3. Le persone fisiche  o  giuridiche  possono  segnalare  in  forma
anonima, qualora lo richiedano, una vulnerabilita' al  CSIRT  Italia.
Quest'ultimo, in veste di coordinatore, garantisce lo svolgimento  di
diligenti azioni per dare seguito alla segnalazione di vulnerabilita'
e assicura l'anonimato della persona fisica o  giuridica  segnalante.
Se la vulnerabilita' segnalata e' suscettibile di  avere  un  impatto
significativo su soggetti in piu'  di  uno  Stato  membro,  il  CSIRT
Italia coopera, ove opportuno, con altri CSIRT designati in  qualita'
di coordinatori nell'ambito della Rete  di  CSIRT  nazionali  di  cui
all'articolo 20. 
  4.  L'Autorita'  nazionale  competente  NIS  adotta,   secondo   le
modalita' di cui all'articolo 40, comma 5, una politica nazionale  di
divulgazione  coordinata  delle  vulnerabilita'  in  linea   con   le
previsioni del presente decreto e tenuto conto degli orientamenti non
vincolanti  del  Gruppo  di  cooperazione  NIS.  L'Agenzia   per   la
cybersicurezza  nazionale  implementa  mezzi  tecnici  per  agevolare
l'attuazione della  politica  nazionale  di  divulgazione  coordinata
delle vulnerabilita'.

          Note all'art. 16: 
              - Per  i  riferimenti  alla  direttiva  (UE)  2022/2555
          misure per un  livello  comune  elevato  di  cibersicurezza
          nell'Unione,  recante  modifica  del  regolamento  (UE)  n.
          910/2014 e della direttiva (UE) 2018/1972 e che  abroga  la
          direttiva (UE) 2016/1148 (direttiva NIS 2)  si  veda  nelle
          note alle premesse.