Art. 12
Obblighi in materia di sicurezza e notifica degli incidenti
1. Gli operatori di servizi essenziali adottano misure tecniche e
organizzative adeguate e proporzionate alla gestione dei rischi posti
alla sicurezza della rete e dei sistemi informativi che utilizzano
nelle loro operazioni. Tenuto conto delle conoscenze piu' aggiornate
in materia, dette misure assicurano un livello di sicurezza della
rete e dei sistemi informativi adeguato al rischio esistente.
2. Gli operatori di servizi essenziali adottano misure adeguate per
prevenire e minimizzare l'impatto di incidenti a carico della
sicurezza della rete e dei sistemi informativi utilizzati per la
fornitura dei servizi essenziali, al fine di assicurare la
continuita' di tali servizi.
3. Nell'adozione delle misure di cui ai commi 1 e 2, gli operatori
di servizi essenziali tengono conto delle linee guida predisposte dal
gruppo di cooperazione di cui all'articolo 10, nonche' delle linee
guida di cui al comma 7.
4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorita'
competenti NIS possono, se necessario, definire specifiche misure,
sentiti gli operatori di servizi essenziali.
5. Gli operatori di servizi essenziali notificano al CSIRT italiano
e, per conoscenza, all'autorita' competente NIS, senza ingiustificato
ritardo, gli incidenti aventi un impatto rilevante sulla continuita'
dei servizi essenziali forniti.
6. Il CSIRT italiano inoltra tempestivamente le notifiche
all'organo istituito presso il Dipartimento informazioni per la
sicurezza incaricato, ai sensi delle direttive del Presidente del
Consiglio dei ministri adottate sentito il Comitato interministeriale
per la sicurezza della Repubblica (CISR), delle attivita' di
prevenzione e preparazione ad eventuali situazioni di crisi e di
attivazione delle procedure di allertamento.
7. Le notifiche includono le informazioni che consentono al CSIRT
italiano di determinare un eventuale impatto transfrontaliero
dell'incidente. La notifica non espone la parte che la effettua a una
maggiore responsabilita' rispetto a quella derivante dall'incidente.
Le autorita' competenti NIS possono predisporre linee guida per la
notifica degli incidenti.
8. Per determinare la rilevanza dell'impatto di un incidente si
tiene conto in particolare dei seguenti parametri:
a) il numero di utenti interessati dalla perturbazione del servizio
essenziale;
b) la durata dell'incidente;
c) la diffusione geografica relativamente all'area interessata
dall'incidente.
9. Sulla base delle informazioni fornite nella notifica da parte
dell'operatore di servizi essenziali, il CSIRT italiano informa gli
eventuali altri Stati membri interessati in cui l'incidente ha un
impatto rilevante sulla continuita' dei servizi essenziali.
10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente
al diritto dell'Unione europea e alla legislazione nazionale, la
sicurezza e gli interessi commerciali dell'operatore di servizi
essenziali, nonche' la riservatezza delle informazioni fornite nella
notifica secondo quanto previsto dall'articolo 1, comma 5.
11. Ove le circostanze lo consentano, il CSIRT italiano fornisce
all'operatore di servizi essenziali, che effettua la notifica, le
pertinenti informazioni relative al seguito della notifica stessa,
nonche' le informazioni che possono facilitare un trattamento
efficace dell'incidente.
12. Su richiesta dell'autorita' competente NIS o del CSIRT
italiano, il punto di contatto unico trasmette, previa verifica dei
presupposti, le notifiche ai punti di contatto unici degli altri
Stati membri interessati.
13. Previa valutazione da parte dell'organo di cui al comma 6,
l'autorita' competente NIS, d'intesa con il CSIRT italiano, dopo aver
consultato l'operatore dei servizi essenziali notificante, puo'
informare il pubblico in merito ai singoli incidenti, qualora ne sia
necessaria la sensibilizzazione per evitare un incidente o gestire un
incidente in corso.
14. Dall'attuazione del presente articolo non devono derivare nuovi
o maggiori oneri a carico della finanza pubblica. Gli operatori di
servizi essenziali provvedono agli adempimenti previsti dal presente
articolo a valere sulle risorse finanziarie disponibili sui propri
bilanci.