Art. 25
Obblighi in materia di notifica di incidente
1. I soggetti essenziali e i soggetti importanti notificano, senza
ingiustificato ritardo, al CSIRT Italia ogni incidente che, ai sensi
del comma 4, ha un impatto significativo sulla fornitura dei loro
servizi, secondo le modalita' e i termini di cui agli articoli 30, 31
e 32.
2. Le notifiche includono le informazioni che consentono al CSIRT
Italia di determinare un eventuale impatto transfrontaliero
dell'incidente.
3. La notifica non espone il soggetto che la effettua a una
maggiore responsabilita' rispetto a quella derivante dall'incidente.
4. Un incidente e' considerato significativo se:
a) ha causato o e' in grado di causare una grave perturbazione
operativa dei servizi o perdite finanziarie per il soggetto
interessato;
b) ha avuto ripercussioni o e' idoneo a provocare ripercussioni
su altre persone fisiche o giuridiche causando perdite materiali o
immateriali considerevoli.
5. Ai fini della notifica di cui al comma 1, i soggetti interessati
trasmettono al CSIRT Italia:
a) senza ingiustificato ritardo, e comunque entro 24 ore da
quando sono venuti a conoscenza dell'incidente significativo, una
pre-notifica che, ove possibile, indichi se l'incidente significativo
possa ritenersi il risultato di atti illegittimi o malevoli o puo'
avere un impatto transfrontaliero;
b) senza ingiustificato ritardo, e comunque entro 72 ore da
quando sono venuti a conoscenza dell'incidente significativo, una
notifica dell'incidente che, ove possibile, aggiorni le informazioni
di cui alla lettera a) e indichi una valutazione iniziale
dell'incidente significativo, comprensiva della sua gravita' e del
suo impatto, nonche', ove disponibili, gli indicatori di
compromissione;
c) su richiesta del CSIRT Italia, una relazione intermedia sui
pertinenti aggiornamenti della situazione;
d) una relazione finale entro un mese dalla trasmissione della
notifica dell'incidente di cui alla lettera b), che comprenda:
1) una descrizione dettagliata dell'incidente, ivi inclusi la
sua gravita' e il suo impatto;
2) il tipo di minaccia o la causa originale (root cause) che ha
probabilmente innescato l'incidente;
3) le misure di attenuazione adottate e in corso;
4) ove noto, l'impatto transfrontaliero dell'incidente;
e) in caso di incidente in corso al momento della trasmissione
della relazione finale di cui alla lettera d), una relazione mensile
sui progressi e una relazione finale entro un mese dalla conclusione
della gestione dell'incidente.
6. In deroga a quanto previsto dal comma 5, lettera b), un
prestatore di servizi fiduciari, in relazione a incidenti
significativi che abbiano un impatto sulla fornitura dei suoi servizi
fiduciari, provvede alla notifica di cui alla medesima lettera, senza
indebito ritardo e comunque entro 24 ore da quando sono venuti a
conoscenza dell'incidente significativo.
7. Fermo restando quanto previsto dall'articolo 15, comma 4, senza
ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento
della pre-notifica di cui al comma 5, lettera a), il CSIRT Italia
fornisce una risposta al soggetto notificante, comprensiva di un
riscontro iniziale sull'incidente significativo e, su richiesta del
soggetto, orientamenti o consulenza sull'attuazione di possibili
misure tecniche di mitigazione. Su richiesta del soggetto
notificante, il CSIRT Italia fornisce ulteriore supporto tecnico.
8. Qualora si sospetti che l'incidente significativo abbia
carattere criminale, il CSIRT Italia fornisce al soggetto notificante
anche orientamenti sulla segnalazione dell'incidente significativo,
all'organo centrale del Ministero dell'interno per la sicurezza e per
la regolarita' dei servizi di telecomunicazione, di cui all'articolo
7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con
modificazioni, dalla legge 31 luglio 2005, n. 155 (Autorita' di
contrasto).
9. Sentito il CSIRT Italia, se ritenuto opportuno e qualora
possibile, i soggetti essenziali e i soggetti importanti comunicano,
senza ingiustificato ritardo, ai destinatari dei loro servizi gli
incidenti significativi che possono ripercuotersi negativamente sulla
fornitura di tali servizi.
10. I soggetti essenziali e i soggetti importanti, se ritenuto
opportuno e qualora possibile, sentito il CSIRT Italia, comunicano
senza ingiustificato ritardo, ai destinatari dei loro servizi che
sono potenzialmente interessati da una minaccia informatica
significativa, misure o azioni correttive o di mitigazione che tali
destinatari possono adottare in risposta a tale minaccia. Inoltre,
sentito il CSIRT Italia, se ritenuto opportuno, i soggetti essenziali
e i soggetti importanti comunicano ai medesimi destinatari anche la
natura di tale minaccia informatica significativa.
11. L'Agenzia per la cybersicurezza nazionale, nello svolgimento
delle funzioni di Autorita' nazionale competente NIS e di CSIRT
Italia, anche sentendo, se del caso, le autorita' competenti e gli
CSIRT nazionali degli altri Stati membri interessati, puo' informare
il pubblico riguardo all'incidente significativo per evitare
ulteriori incidenti significativi o per gestire un incidente
significativo in corso, o qualora ritenga che la divulgazione
dell'incidente significativo sia altrimenti nell'interesse pubblico.
12. L'Agenzia per la cybersicurezza nazionale adotta mezzi tecnici
e relative procedure per semplificare le notifiche di cui al presente
articolo e le notifiche volontarie di cui all'articolo 26, informando
i soggetti essenziali e i soggetti importanti.
Note all'art. 25:
- Per i riferimenti all'articolo 7-bis del
decreto-legge 27 luglio 2005, n. 144 (Misure urgenti per il
contrasto del terrorismo internazionale) pubblicato nella
Gazzetta ufficiale del 27 luglio 2005, n. 173, convertito,
con modificazioni, dalla legge 31 luglio 2005, n. 155, si
veda nelle note all'art. 14.