Ai sensi dell’art. 41, comma 2, del D. Leg.vo 04/09/2024, n. 138 il presente capo continua a trovare applicazione nei confronti dei soli soggetti di cui alla lettera a), dell’art. 3, comma 9, del D. Leg.vo 04/09/2024, n. 138 fino alla data di adozione dei provvedimenti attuativi di cui alle lettere a), b), e) e f), dell’art. 40, commi 1, 2, 3, 4 e 5, del D. Leg.vo 04/09/2024, n. 138.

Il capo V così recitava:

“Capo V - SICUREZZA DELLA RETE E DEI SISTEMI INFORMATIVI DEI FORNITORI DI SERVIZI DIGITALI

Art. 14. - Obblighi in materia di sicurezza e notifica degli incidenti

1. I fornitori di servizi digitali identificano e adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dell’offerta di servizi di cui all’allegato III all’interno dell’Unione europea.

2. Tenuto conto delle conoscenze più aggiornate in materia, tali misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

a) la sicurezza dei sistemi e degli impianti;

b) trattamento degli incidenti;

c) gestione della continuità operativa;

d) monitoraggio, audit e test;

e) conformità con le norme internazionali.

3. I fornitori di servizi digitali adottano misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all’allegato III offerti all’interno dell’Unione europea, al fine di assicurare la continuità di tali servizi.

4. I fornitori di servizi digitali notificano al CSIRT italiano senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla fornitura di un servizio di cui all’allegato III che essi offrono all’interno dell’Unione europea.

5. Le notifiche includono le informazioni che consentono al CSIRT italiano di determinare la rilevanza di un eventuale impatto transfrontaliero. La notifica non espone la parte che la effettua a una maggiore responsabilità rispetto a quella derivante dall’incidente.

6. Il CSIRT italiano inoltra tempestivamente le notifiche all’organo di cui all’articolo 12, comma 6.

7. Al fine di determinare la rilevanza dell’impatto di un incidente, sono tenuti in considerazione, in particolare, i seguenti parametri:

a) il numero di utenti interessati dall’incidente, in particolare gli utenti che dipendono dal servizio digitale per la fornitura dei propri servizi;

b) la durata dell’incidente;

c) la diffusione geografica relativamente all’area interessata dall’incidente;

d) la portata della perturbazione del funzionamento del servizio;

e) la portata dell’impatto sulle attività economiche e sociali.

8. L’obbligo di notificare un incidente si applica soltanto qualora il fornitore di servizi digitali abbia accesso alle informazioni necessarie per valutare l’impatto di un incidente con riferimento ai parametri di cui al comma 7.

9. Qualora un operatore di servizi essenziali dipenda da una terza parte fornitrice di servizi digitali per la fornitura di un servizio che è indispensabile per il mantenimento di attività economiche e sociali fondamentali, l’operatore stesso notifica qualsiasi impatto rilevante per la continuità di servizi essenziali dovuto ad un incidente a carico di tale operatore.

10. Qualora l’incidente di cui al comma 4 riguardi due o più Stati membri, il CSIRT italiano informa gli altri Stati membri coinvolti.

11. Ai fini del comma 9, il CSIRT italiano tutela, nel rispetto del diritto dell’Unione europea e della legislazione nazionale, la sicurezza e gli interessi commerciali del fornitore del servizio digitale nonché la riservatezza delle informazioni fornite.

12. Previa valutazione da parte dell’organo di cui all’articolo 12, comma 6, l’autorità competente NIS, d’intesa con il CSIRT italiano, dopo aver consultato il fornitore di servizi digitali interessato e, se del caso, le autorità competenti o i CSIRT degli altri Stati membri interessati, può informare il pubblico riguardo ai singoli incidenti o chiedere al fornitore di servizi digitali di provvedervi, qualora ne sia necessaria la sensibilizzazione per evitare un incidente o gestirne uno in corso, o qualora sussista comunque un interesse pubblico alla divulgazione dell’incidente.

13. I fornitori di servizi digitali applicano le disposizioni di attuazione degli atti di esecuzione della Commissione europea che specificano ulteriormente le misure tecnico-organizzative di cui al comma 1 e i parametri, ivi compresi formati e procedure, relativi agli obblighi di notifica di cui al comma 4.

14. Fatto salvo quanto previsto dall’articolo 1, comma 7, non sono imposti ulteriori obblighi in materia di sicurezza o di notifica ai fornitori di servizi digitali.

15. Il presente capo non si applica alle microimprese e alle piccole imprese quali definite nella raccomandazione della Commissione europea del 6 maggio 2003, n. 2003/361/CE.

Art. 15. - Attuazione e controllo

1. Nel caso in cui sia dimostrato il mancato rispetto degli obblighi di cui all’articolo 14 da parte dei fornitori di servizi digitali, l’autorità competente NIS può adottare misure di vigilanza ex post adeguate alla natura dei servizi e delle operazioni. La dimostrazione del mancato rispetto degli obblighi può essere prodotta dall’autorità competente di un altro Stato membro in cui è fornito il servizio.

2. Ai fini del comma 1, i fornitori di servizi digitali sono tenuti a:

a) fornire le informazioni necessarie per valutare la sicurezza della loro rete e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;

b) porre rimedio ad ogni mancato adempimento degli obblighi di cui all’articolo 14.

3. Se un fornitore di servizi digitali ha lo stabilimento principale o un rappresentante in uno Stato membro, ma la sua rete o i suoi sistemi informativi sono ubicati in uno o più altri Stati membri, l’autorità competente dello Stato membro dello stabilimento principale o del rappresentante e le autorità competenti dei suddetti altri Stati membri cooperano e si assistono reciprocamente in funzione delle necessità. Tale assistenza e cooperazione può comprendere scambi di informazioni tra le autorità competenti interessate e richieste di adottare le misure di vigilanza di cui al comma 1.

Art. 16. - Giurisdizione e territorialità

1. Ai fini del presente decreto, un fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui ha lo stabilimento principale. Un fornitore di servizi digitali è comunque considerato avere il proprio stabilimento principale in uno Stato membro quando ha la sua sede sociale in tale Stato membro.

2. Un fornitore di servizi digitali che non è stabilito nell’Unione europea, ma offre servizi di cui all’allegato III all’interno dell’Unione europea, designa un rappresentante nell’Unione europea.

3. Il rappresentante è stabilito in uno di quegli Stati membri in cui sono offerti i servizi. Il fornitore di servizi digitali è considerato soggetto alla giurisdizione dello Stato membro in cui è stabilito il suo rappresentante.

4. La designazione di un rappresentante da parte di un fornitore di servizi digitali fa salve le azioni legali che potrebbero essere avviate nei confronti del fornitore stesso di servizi digitali.”