                               Art. 14 
 
     Obblighi in materia di sicurezza e notifica degli incidenti 
 
  1. I fornitori di servizi digitali identificano e  adottano  misure
tecniche e organizzative adeguate e proporzionate alla  gestione  dei
rischi relativi alla sicurezza della rete e dei  sistemi  informativi
che  utilizzano  nel  contesto  dell'offerta  di   servizi   di   cui
all'allegato III all'interno dell'Unione europea. 
  2. Tenuto conto delle conoscenze piu' aggiornate in  materia,  tali
misure assicurano un livello di sicurezza della rete  e  dei  sistemi
informativi  adeguato  al  rischio  esistente  e  tengono  conto  dei
seguenti elementi: 
  a) la sicurezza dei sistemi e degli impianti; 
  b) trattamento degli incidenti; 
  c) gestione della continuita' operativa; 
  d) monitoraggio, audit e test; 
  e) conformita' con le norme internazionali. 
  3. I fornitori di servizi digitali adottano misure per prevenire  e
minimizzare l'impatto di incidenti a  carico  della  sicurezza  della
rete e dei sistemi informativi del fornitore di servizi digitali  sui
servizi di  cui  all'allegato  III  offerti  all'interno  dell'Unione
europea, al fine di assicurare la continuita' di tali servizi. 
  4. I fornitori di servizi digitali notificano al CSIRT italiano  e,
per conoscenza, all'autorita' competente  NIS,  senza  ingiustificato
ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di
un servizio di cui all'allegato  III  che  essi  offrono  all'interno
dell'Unione europea. 
  5. Le notifiche includono le informazioni che consentono  al  CSIRT
italiano  di  determinare  la  rilevanza  di  un  eventuale   impatto
transfrontaliero. La notifica non espone la parte che la  effettua  a
una   maggiore   responsabilita'   rispetto   a   quella    derivante
dall'incidente. 
  6.  Il  CSIRT  italiano  inoltra   tempestivamente   le   notifiche
all'organo di cui all'articolo 12, comma 6. 
  7.  Al  fine  di  determinare  la  rilevanza  dell'impatto  di   un
incidente, sono tenuti in considerazione, in particolare, i  seguenti
parametri: 
    a) il numero di utenti interessati dall'incidente, in particolare
gli utenti che dipendono dal servizio digitale per la  fornitura  dei
propri servizi; 
    b) la durata dell'incidente; 
    c) la diffusione geografica  relativamente  all'area  interessata
dall'incidente; 
    d) la portata della perturbazione del funzionamento del servizio; 
    e) la portata dell'impatto sulle attivita' economiche e sociali. 
  8. L'obbligo di notificare un incidente si applica soltanto qualora
il fornitore di servizi  digitali  abbia  accesso  alle  informazioni
necessarie per valutare l'impatto di un incidente con riferimento  ai
parametri di cui al comma 7. 
  9. Qualora un operatore di servizi essenziali dipenda da una  terza
parte fornitrice di servizi digitali per la fornitura di un  servizio
che e' indispensabile per il mantenimento di attivita'  economiche  e
sociali fondamentali, l'operatore stesso notifica  qualsiasi  impatto
rilevante per la continuita'  di  servizi  essenziali  dovuto  ad  un
incidente a carico di tale operatore. 
  10. Qualora l'incidente di cui al comma 4 riguardi due o piu' Stati
membri, il CSIRT italiano informa gli altri Stati membri coinvolti. 
  11. Ai fini del comma 9, il CSIRT italiano tutela, nel rispetto del
diritto  dell'Unione  europea  e  della  legislazione  nazionale,  la
sicurezza e gli interessi  commerciali  del  fornitore  del  servizio
digitale nonche' la riservatezza delle informazioni fornite. 
  12. Previa valutazione da parte dell'organo di cui all'articolo 12,
comma 6, l'autorita' competente NIS, d'intesa con il CSIRT  italiano,
dopo aver consultato il fornitore di servizi digitali interessato  e,
se del caso, le autorita' competenti o  i  CSIRT  degli  altri  Stati
membri interessati, puo' informare il pubblico  riguardo  ai  singoli
incidenti o chiedere al fornitore di servizi digitali di provvedervi,
qualora  ne  sia  necessaria  la  sensibilizzazione  per  evitare  un
incidente o gestirne uno in corso, o  qualora  sussista  comunque  un
interesse pubblico alla divulgazione dell'incidente. 
  13. I fornitori di servizi digitali applicano  le  disposizioni  di
attuazione degli atti di esecuzione  della  Commissione  europea  che
specificano ulteriormente le misure tecnico-organizzative di  cui  al
comma 1 e i parametri, ivi compresi  formati  e  procedure,  relativi
agli obblighi di notifica di cui al comma 4. 
  14. Fatto salvo quanto previsto dall'articolo 1, comma 7, non  sono
imposti ulteriori obblighi in materia di sicurezza o di  notifica  ai
fornitori di servizi digitali. 
  15. Il presente capo  non  si  applica  alle  microimprese  e  alle
piccole  imprese   quali   definite   nella   raccomandazione   della
Commissione europea del 6 maggio 2003, n. 2003/361/CE.

          Note all'art. 14: 
              - Per i  riferimenti  normativi  della  raccomandazione
          2003/361/CE della Commissione,  si  veda  nelle  note  alle
          premesse.