keyboard_tab NIS2 2022/2555 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Oggetto e ambito di applicazione
- Art. 2 Ambito di applicazione
- Art. 3 Soggetti essenziali e importanti
- Art. 4 Atti giuridici settoriali dell'Unione
- Art. 5 Armonizzazione minima
- Art. 6 Definizioni
- Art. 7 Strategia nazionale per la cibersicurezza
- Art. 8 Autorità competenti e punti di contatto unici
- Art. 9 Quadri nazionali di gestione delle crisi informatiche
- Art. 10 Team di risposta agli incidenti di sicurezza informatica (CSIRT)
- Art. 11 Requisiti, capacità tecniche e compiti dei CSIRT
- Art. 12 Divulgazione coordinata delle vulnerabilità e banca dati europea delle vulnerabilità
- Art. 13 Cooperazione a livello nazionale
- Art. 14 Gruppo di cooperazione
- Art. 15 Rete di CSIRT
- Art. 16 Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe)
- Art. 17 Cooperazione internazionale
- Art. 18 Relazione sullo stato della cibersicurezza nell'Unione
- Art. 19 Revisioni tra pari
- Art. 20 Governance
- Art. 21 Misure di gestione dei rischi di cibersicurezza
- Art. 22 Valutazioni coordinate a livello dell'Unione del rischio per la sicurezza delle catene di approvvigionamento critiche
- Art. 23 Obblighi di segnalazione
- Art. 24 Uso dei sistemi europei di certificazione della cibersicurezza
- Art. 25 Normazione
- Art. 26 Giurisdizione e territorialità
- Art. 27 Registro dei soggetti
- Art. 28 Banca dati dei dati di registrazione dei nomi di dominio
- Art. 29 Accordi di condivisione delle informazioni sulla cibersicurezza
- Art. 30 Notifica volontaria di informazioni pertinenti
- Art. 31 Aspetti generali relativi alla vigilanza e all'esecuzione
- Art. 32 Misure di vigilanza e di esecuzione relative a soggetti essenziali
- Art. 33 Vigilanza ed esecuzione relative a soggetti essenziali
- Art. 34 Condizioni generali per imporre sanzioni amministrative pecuniarie ai soggetti essenziali e importanti
- Art. 35 Violazioni che comportano una violazione dei dati personali
- Art. 36 Sanzioni
- Art. 37 Assistenza reciproca
- Art. 38 Esercizio della delega
- Art. 39 Procedura di comitato
- Art. 40 Riesame
- Art. 41 Recepimento
- Art. 42 Modifica del regolamento (UE) n. 910/2014
- Art. 43 Modifica della direttiva (UE) 2018/1972
- Art. 44 Abrogazione
- Art. 45 Entrata in vigore
- Articolo 46 Destinatari
CAPO I
DISPOSIZIONI GENERALI
CAPO II
QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA
CAPO III
COOPERAZIONE A LIVELLO DELL'UNIONE E INTERNAZIONALE
CAPO IV
MISURE DI GESTIONE DEL RISCHIO DI CIBERSICUREZZA E OBBLIGHI DI SEGNALAZIONE
CAPO V
GIURISDIZIONE E REGISTRAZIONE
CAPO VI
CONDIVISIONE DELLE INFORMAZIONI
CAPO VII
VIGILANZA ED ESECUZIONE
CAPO VIII
ATTI DELEGATI E ATTI DI ESECUZIONE
CAPO IX
DISPOSIZIONI FINALI
- sistema informatico e di rete
- sicurezza dei sistemi informatici e di rete
- cibersicurezza
- strategia nazionale per la cibersicurezza
- quasi incidente
- incidente
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- rischio
- minaccia informatica
- minaccia informatica significativa
- prodotto TIC
- servizio TIC
- processo TIC
- vulnerabilità
- norma
- specifica tecnica
- punto di interscambio internet
- sistema dei nomi di dominio
- fornitore di servizi DNS
- registro dei nomi di dominio di primo livello
- soggetto che fornisce servizi di registrazione di nomi di dominio
- servizio digitale
- servizio fiduciario
- prestatore di servizi fiduciari
- servizio fiduciario qualificato
- prestatore di servizi fiduciari qualificato
- mercato online
- motore di ricerca online
- servizio di cloud computing
- servizio di data center
- rete di distribuzione dei contenuti (content delivery network)
- piattaforma di servizi di social network
- rappresentante
- ente della pubblica amministrazione
- rete pubblica di comunicazione elettronica
- servizio di comunicazione elettronica
- soggetto
- fornitore di servizi gestiti
- fornitore di servizi di sicurezza gestiti
- organismo di ricerca
- incidente 26
- significativo 19
- autorità 18
- csirt 17
- paragrafo 15
- opportuno 14
- competente 13
- servizi 12
- soggetti 11
- relazione 9
- informazioni 9
- incidenti 9
- interessati 8
- soggetto 8
- indebito 8
- stati 8
- membri 8
- ritardo 8
- fornitori 7
- notifica 7
- norma 7
- affinché 7
- impatto 7
- contatto 6
- articolo 6
- conformemente 6
- atti 5
- esecuzione 5
- presente 5
- fornitura 4
- transfrontaliero 4
- ore 4
- richiesta 4
- adottare 4
- orientamenti 4
- membro 4
- punto 4
- unico 4
- enisa 4
- primo 4
- provvedono 4
- sugli 4
- destinatari 4
- significativi 4
- provvede 3
- comunque 3
- venuti 3
- conoscenza 3
- iniziale 3
- nonché 3
Articolo 23
Obblighi di segnalazione
1. Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al proprio CSIRT o, se opportuno, alla propria autorità competente, conformemente al paragrafo 4, eventuali incidenti che hanno un impatto significativo sulla fornitura dei loro servizi quali indicati al paragrafo 3 ( incidente significativo). Se opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi. Ciascuno Stato membro provvede affinché tali soggetti comunichino, tra l'altro, qualunque informazione che consenta al CSIRT o, se opportuno, all'autorità competente di determinare l'eventuale impatto transfrontaliero dell' incidente. La sola notifica non espone il soggetto che la effettua a una maggiore responsabilità.
Qualora i soggetti interessati notifichino all'autorità competente un incidente significativo conformemente al primo comma, lo Stato membro provvede affinché l'autorità competente inoltri la notifica al CSIRT dopo averla ricevuta.
In caso di incidente significativo transfrontaliero o intersettoriale, gli Stati membri provvedono affinché i loro punti di contatto unici ricevano in tempo utile informazioni pertinenti notificate conformemente al paragrafo 4.
2. Se opportuno, gli Stati membri provvedono affinché i soggetti essenziali e importanti comunichino senza indebito ritardo ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia_informatica significativa qualsiasi misura o azione correttiva che tali destinatari sono in grado di adottare in risposta a tale minaccia. Se opportuno, i soggetti informano tali destinatari anche della minaccia_informatica significativa stessa.
3. Un incidente è considerato significativo se:
| a) | ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; |
| b) | si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. |
4. Gli Stati membri provvedono affinché, ai fini della notifica a norma del paragrafo 1, i soggetti interessati trasmettano al CSIRT o, se opportuno, all'autorità competente:
| a) | senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero; |
| b) | senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica dell' incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; |
| c) | su richiesta di un CSIRT o, se opportuno, di un'autorità competente, una relazione intermedia sui pertinenti aggiornamenti della situazione; |
| d) | una relazione finale entro un mese dalla trasmissione della notifica dell' incidente di cui alla lettera b), che comprenda:
|
| e) | in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente. |
In deroga al primo comma, lettera b), un prestatore_di_servizi_fiduciari, in relazione a incidenti significativi che abbiano un impatto sulla fornitura dei suoi servizi fiduciari, informa il CSIRT o, se opportuno, l'autorità competente senza indebito ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo.
5. Senza indebito ritardo e ove possibile entro 24 ore dal ricevimento del preallarme di cui al paragrafo 4, lettera a), il CSIRT o l'autorità competente fornisce una risposta al soggetto notificante, comprendente un riscontro iniziale sull' incidente significativo e, su richiesta del soggetto, orientamenti o consulenza operativa sull'attuazione di possibili misure di attenuazione. Se il CSIRT non è il destinatario iniziale della notifica di cui al paragrafo 1, gli orientamenti sono forniti dall'autorità competente in cooperazione con il CSIRT. Su richiesta del soggetto interessato, il CSIRT fornisce ulteriore supporto tecnico. Qualora si sospetti che l' incidente significativo abbia carattere criminale, il CSIRT o l'autorità competente fornisce anche orientamenti sulla segnalazione dell' incidente significativo alle autorità di contrasto.
6. Se opportuno, e in particolare se l' incidente significativo interessa due o più Stati membri, il CSIRT, l'autorità competente o il punto di contatto unico ne informa senza indebito ritardo gli altri Stati membri interessati e l'ENISA. Tali informazioni includono o il tipo di informazioni ricevute a norma del paragrafo 4. Nel fare ciò, il CSIRT, l'autorità competente o il punto di contatto unico tutelano, in conformità al diritto dell'Unione o nazionale, la sicurezza e gli interessi commerciali del soggetto nonché la riservatezza delle informazioni fornite.
7. Qualora sia necessario sensibilizzare il pubblico per evitare un incidente significativo o affrontare un incidente significativo in corso, o qualora la divulgazione dell' incidente significativo sia altrimenti nell'interesse pubblico, dopo aver consultato il soggetto interessato il CSIRT di uno Stato membro o, se del caso, la sua autorità competente e, se opportuno, i CSIRT o le autorità competenti degli altri Stati membri interessati, possono informare il pubblico riguardo all' incidente significativo o imporre al soggetto di farlo.
8. Su richiesta del CSIRT o dell'autorità competente, il punto di contatto unico inoltra le notifiche ricevute a norma del paragrafo 1 ai punti di contatto unici degli altri Stati membri interessati.
9. Il punto di contatto unico trasmette ogni tre mesi all'ENISA una relazione di sintesi che comprende dati anonimizzati e aggregati sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti notificati conformemente al paragrafo 1 del presente articolo e all'articolo 30. Al fine di contribuire alla fornitura di informazioni comparabili, l'ENISA può adottare orientamenti tecnici sui parametri delle informazioni da includere nella relazione di sintesi. Ogni sei mesi l'ENISA informa il gruppo di cooperazione e la rete di CSIRT delle sue constatazioni in merito alle notifiche ricevute.
10. I CRSIRT o, se opportuno, le autorità competenti forniscono alle autorità competenti a norma della direttiva (UE) 2022/2557 le informazioni sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti notificati conformemente al paragrafo 1 del presente articolo e all'articolo 30 dai soggetti identificati come soggetti critici a norma della direttiva (UE) 2022/2557.
11. La Commissione può adottare atti di esecuzione che specifichino ulteriormente il tipo di informazioni, il relativo formato e la procedura di trasmissione di una notifica a norma del paragrafo 1 del presente articolo e dell'articolo 30 e di una comunicazione trasmessa a norma del paragrafo 2 del presente articolo.
Entro il 17 ottobre 2024 la Commissione adotta, per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, nonché i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, atti di esecuzione che specifichino ulteriormente i casi in cui un incidente debba essere considerato significativo come indicato al paragrafo 3. La Commissione può adottare tali atti di esecuzione in relazione ad altri soggetti essenziali e importanti.
La Commissione scambia pareri e coopera con il gruppo di cooperazione in merito ai progetti di atto di esecuzione di cui al primo e secondo comma del presente paragrafo conformemente all'articolo 14, paragrafo 4, lettera e).
Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2.
whereas