Ai sensi dell’art. 41, comma 2, del D. Leg.vo 04/09/2024, n. 138 il presente capo continua a trovare applicazione nei confronti dei soli soggetti di cui alla lettera a), dell’art. 3, comma 9, del D. Leg.vo 04/09/2024, n. 138 fino alla data di adozione dei provvedimenti attuativi di cui alle lettere a), b), e) e f), dell’art. 40, commi 1, 2, 3, 4 e 5, del D. Leg.vo 04/09/2024, n. 138.

Il capo IV così recitava:

“Capo IV - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEGLI OPERATORI DI SERVIZI ESSENZIALI

Art. 12. - Obblighi in materia di sicurezza e notifica degli incidenti

1. Gli operatori di servizi essenziali adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.

2. Gli operatori di servizi essenziali adottano misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

3. Nell’adozione delle misure di cui ai commi 1 e 2, gli operatori di servizi essenziali tengono conto delle linee guida predisposte dal gruppo di cooperazione di cui all’articolo 10, nonché delle linee guida di cui al comma 7.

4. Fatto salvo quanto previsto dai commi 1, 2 e 3, le autorità competenti NIS possono, se necessario, definire specifiche misure, sentiti gli operatori di servizi essenziali.

5. Gli operatori di servizi essenziali notificano al CSIRT italiano senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.

6. Il CSIRT italiano inoltra tempestivamente le notifiche all’organo istituito presso il Dipartimento informazioni per la sicurezza incaricato, ai sensi delle direttive del Presidente del Consiglio dei ministri adottate sentito il Comitato interministeriale per la cybersicurezza (CIC), delle attività di prevenzione e preparazione ad eventuali situazioni di crisi e di attivazione delle procedure di allertamento.

7. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare un eventuale impatto transfrontaliero dell’incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente. Le autorità competenti NIS possono predisporre linee guida per la notifica degli incidenti.

8. Per determinare la rilevanza dell’impatto di un incidente si tiene conto in particolare dei seguenti parametri:

a) il numero di utenti interessati dalla perturbazione del servizio essenziale;

b) la durata dell’incidente;

c) la diffusione geografica relativamente all’area interessata dall’incidente.

9. Sulla base delle informazioni fornite nella notifica da parte dell’operatore di servizi essenziali, il CSIRT italiano informa gli eventuali altri Stati membri interessati in cui l’incidente ha un impatto rilevante sulla continuità dei servizi essenziali.

10 Ai fini del comma 9, il CSIRT italiano preserva, conformemente al diritto dell’Unione europea e alla legislazione nazionale, la sicurezza e gli interessi commerciali dell’operatore di servizi essenziali, nonché la riservatezza delle informazioni fornite nella notifica secondo quanto previsto dall’articolo 1, comma 5.

11. Ove le circostanze lo consentano, il CSIRT italiano fornisce all’operatore di servizi essenziali, che effettua la notifica, le pertinenti informazioni relative al seguito della notifica stessa, nonché le informazioni che possono facilitare un trattamento efficace dell’incidente.

12. Su richiesta dell’autorità competente NIS o del CSIRT italiano, il punto di contatto unico trasmette, previa verifica dei presupposti, le notifiche ai punti di contatto unici degli altri Stati membri interessati.

13. Previa valutazione da parte dell’organo di cui al comma 6, l’autorità competente NIS, d’intesa con il CSIRT italiano, dopo aver consultato l’operatore dei servizi essenziali notificante, può informare il pubblico in merito ai singoli incidenti, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestire un incidente in corso.

14. Dall’attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Gli operatori di servizi essenziali provvedono agli adempimenti previsti dal presente articolo a valere sulle risorse finanziarie disponibili sui propri bilanci.

Art. 13. - Attuazione e controllo

1. Le autorità competenti NIS valutano il rispetto da parte degli operatori di servizi essenziali degli obblighi previsti dall’articolo 12, nonché i relativi effetti sulla sicurezza della rete e dei sistemi informativi.

2. Ai fini del comma 1, gli operatori di servizi essenziali sono tenuti a fornire all’autorità competente NIS:

a) le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;

b) la prova dell’effettiva attuazione delle politiche di sicurezza, come i risultati di un audit sulla sicurezza svolto dall’autorità competente NIS o da un revisore abilitato e, in quest’ultimo caso, metterne a disposizione dell’autorità competente NIS i risultati, inclusi gli elementi di prova.

3. Quando richiede le informazioni o le prove di cui al comma 2, l’autorità competente NIS indica lo scopo delle richieste specificando il tipo di informazioni da fornire.

4. A seguito della valutazione delle informazioni o dei risultati degli audit sulla sicurezza di cui al comma 2, l’autorità competente NIS può emanare istruzioni vincolanti per gli operatori di servizi essenziali al fine di porre rimedio alle carenze individuate.

5. Nei casi di incidenti che comportano violazioni di dati personali, l’autorità competente NIS opera in stretta cooperazione con il Garante per la protezione dei dati personali.”