Articolo 14 – Direttiva NIS (EU-2016/1148)
Obblighi in materia di sicurezza e notifica degli incidenti
1. Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente.
2. Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi.
3. Gli Stati membri provvedono affinché gli operatori di servizi essenziali notifichino senza indebito ritardo all’autorità competente o al CSIRT gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati. Le notifiche includono le informazioni che consentono all’autorità competente o al CSIRT di determinare qualsiasi impatto transfrontaliero dell’incidente. La notifica non espone la parte che la effettua a una maggiore responsabilità.
4. Per determinare la rilevanza dell’impatto di un incidente si tiene conto in particolare dei seguenti parametri:
a) |
il numero di utenti interessati dalla perturbazione del servizio essenziale; |
b) |
la durata dell’incidente; |
c) |
la diffusione geografica relativamente all’area interessata dall’incidente. |
5. Sulla base delle informazioni fornite nella notifica da parte dell’operatore di servizi essenziali, l’autorità competente o il CSIRT informa l’altro o gli altri Stati membri interessati se l’incidente ha un impatto rilevante sulla continuità dei servizi essenziali in quello Stato membro. A tal fine l’autorità competente o il CSIRT preserva, conformemente al diritto dell’Unione o alla legislazione nazionale conforme al diritto dell’Unione, la sicurezza e gli interessi commerciali dell’operatore di servizi essenziali, nonché la riservatezza delle informazioni fornite nella sua notifica.
Ove le circostanze lo consentano, l’autorità competente o il CSIRT fornisce all’operatore di servizi essenziali che effettua la notifica di incidente le pertinenti informazioni relative al seguito della notifica stessa, come le informazioni che possano facilitare un trattamento efficace dell’incidente.
Su richiesta dell’autorità competente o del CSIRT, il punto di contatto unico trasmette le notifiche di cui al primo comma ai punti di contatto unici degli altri Stati membri interessati.
6. Dopo aver consultato l’operatore notificante dei servizi essenziali, l’autorità competente o il CSIRT può informare il pubblico in merito ai singoli incidenti, qualora sia necessaria la sensibilizzazione del pubblico per evitare un incidente o gestire un incidente in corso.
7. Le autorità competenti, agendo unitamente nell’ambito del gruppo di cooperazione, possono elaborare e adottare orientamenti sulle circostanze in cui gli operatori di servizi essenziali sono tenuti a notificare gli incidenti, compresi i parametri per determinare la rilevanza dell’impatto di un incidente di cui al paragrafo 4.