keyboard_tab NIS2 2022/2555 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Oggetto e ambito di applicazione
- Art. 2 Ambito di applicazione
- Art. 3 Soggetti essenziali e importanti
- Art. 4 Atti giuridici settoriali dell'Unione
- Art. 5 Armonizzazione minima
- Art. 6 Definizioni
- Art. 7 Strategia nazionale per la cibersicurezza
- Art. 8 Autorità competenti e punti di contatto unici
- Art. 9 Quadri nazionali di gestione delle crisi informatiche
- Art. 10 Team di risposta agli incidenti di sicurezza informatica (CSIRT)
- Art. 11 Requisiti, capacità tecniche e compiti dei CSIRT
- Art. 12 Divulgazione coordinata delle vulnerabilità e banca dati europea delle vulnerabilità
- Art. 13 Cooperazione a livello nazionale
- Art. 14 Gruppo di cooperazione
- Art. 15 Rete di CSIRT
- Art. 16 Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe)
- Art. 17 Cooperazione internazionale
- Art. 18 Relazione sullo stato della cibersicurezza nell'Unione
- Art. 19 Revisioni tra pari
- Art. 20 Governance
- Art. 21 Misure di gestione dei rischi di cibersicurezza
- Art. 22 Valutazioni coordinate a livello dell'Unione del rischio per la sicurezza delle catene di approvvigionamento critiche
- Art. 23 Obblighi di segnalazione
- Art. 24 Uso dei sistemi europei di certificazione della cibersicurezza
- Art. 25 Normazione
- Art. 26 Giurisdizione e territorialità
- Art. 27 Registro dei soggetti
- Art. 28 Banca dati dei dati di registrazione dei nomi di dominio
- Art. 29 Accordi di condivisione delle informazioni sulla cibersicurezza
- Art. 30 Notifica volontaria di informazioni pertinenti
- Art. 31 Aspetti generali relativi alla vigilanza e all'esecuzione
- Art. 32 Misure di vigilanza e di esecuzione relative a soggetti essenziali
- Art. 33 Vigilanza ed esecuzione relative a soggetti essenziali
- Art. 34 Condizioni generali per imporre sanzioni amministrative pecuniarie ai soggetti essenziali e importanti
- Art. 35 Violazioni che comportano una violazione dei dati personali
- Art. 36 Sanzioni
- Art. 37 Assistenza reciproca
- Art. 38 Esercizio della delega
- Art. 39 Procedura di comitato
- Art. 40 Riesame
- Art. 41 Recepimento
- Art. 42 Modifica del regolamento (UE) n. 910/2014
- Art. 43 Modifica della direttiva (UE) 2018/1972
- Art. 44 Abrogazione
- Art. 45 Entrata in vigore
- Articolo 46 Destinatari
CAPO I
DISPOSIZIONI GENERALI
CAPO II
QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA
CAPO III
COOPERAZIONE A LIVELLO DELL'UNIONE E INTERNAZIONALE
CAPO IV
MISURE DI GESTIONE DEL RISCHIO DI CIBERSICUREZZA E OBBLIGHI DI SEGNALAZIONE
CAPO V
GIURISDIZIONE E REGISTRAZIONE
CAPO VI
CONDIVISIONE DELLE INFORMAZIONI
CAPO VII
VIGILANZA ED ESECUZIONE
CAPO VIII
ATTI DELEGATI E ATTI DI ESECUZIONE
CAPO IX
DISPOSIZIONI FINALI
- sistema informatico e di rete
- sicurezza dei sistemi informatici e di rete
- cibersicurezza
- strategia nazionale per la cibersicurezza
- quasi incidente
- incidente
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- rischio
- minaccia informatica
- minaccia informatica significativa
- prodotto TIC
- servizio TIC
- processo TIC
- vulnerabilità
- norma
- specifica tecnica
- punto di interscambio internet
- sistema dei nomi di dominio
- fornitore di servizi DNS
- registro dei nomi di dominio di primo livello
- soggetto che fornisce servizi di registrazione di nomi di dominio
- servizio digitale
- servizio fiduciario
- prestatore di servizi fiduciari
- servizio fiduciario qualificato
- prestatore di servizi fiduciari qualificato
- mercato online
- motore di ricerca online
- servizio di cloud computing
- servizio di data center
- rete di distribuzione dei contenuti (content delivery network)
- piattaforma di servizi di social network
- rappresentante
- ente della pubblica amministrazione
- rete pubblica di comunicazione elettronica
- servizio di comunicazione elettronica
- soggetto
- fornitore di servizi gestiti
- fornitore di servizi di sicurezza gestiti
- organismo di ricerca
- autorità 12
- soggetti 11
- presente 10
- audit 8
- competenti 8
- direttiva 8
- articolo 8
- affinché 7
- vigilanza 7
- sicurezza 7
- interessati 7
- misure 7
- provvedono 6
- membri 6
- stati 6
- norma 6
- soggetto 6
- imporre 6
- informazioni 5
- rischi 4
- competente 4
- richieste 4
- cibersicurezza 4
- esecuzione 4
- obblighi 4
- regolamento 3
- esercizio 3
- gli 3
- importanti 3
- mirati 3
- post 3
- poteri 3
- violazioni 3
- termine 3
- dati 2
- rispetto 2
- minaccia 2
- politiche 2
- giuridiche 2
- organismo 2
- indipendente 2
- adottate 2
- risultati 2
- eventuali 2
- qualsiasi 2
- gestione 2
- servizi 2
- persone 2
- pertinenti 2
- sottoposto 2
Articolo 33
Vigilanza ed esecuzione relative a soggetti essenziali
1. Se ricevono elementi di prova, indicazioni o informazioni secondo cui un soggetto importante non rispetta presumibilmente la presente direttiva, in particolare dagli articoli 21 e 23 della medesima, gli Stati membri provvedono affinché le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post. Gli Stati membri provvedono affinché tali misure siano efficaci, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso.
2. Gli Stati membri provvedono affinché le autorità competenti, nell'esercizio dei rispettivi compiti di vigilanza nei confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a:
| a) | ispezioni in loco e vigilanza ex post a distanza, effettuate da professionisti formati; |
| b) | audit sulla sicurezza mirati svolti da un organismo indipendente o da un'autorità competente; |
| c) | scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario, con la cooperazione del soggetto interessato; |
| (d) | richieste di qualsiasi informazione necessaria a valutare ex post le misure di gestione dei rischi di cibersicurezza adottate dal soggetto, comprese le politiche di cibersicurezza documentate, nonché il rispetto degli obblighi di trasmettere informazioni alle autorità competenti a norma dell'articolo 27; |
| e) | richieste di accesso a dati, documenti e/o informazioni necessari allo svolgimento dei propri compiti di vigilanza; |
| f) | richieste di dati che dimostrino l'attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova. |
Gli audit sulla sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio effettuate dall'autorità competente o dal soggetto sottoposto ad audit o su altre informazioni disponibili in materia di rischi.
I risultati di eventuali audit sulla sicurezza mirati sono messi a disposizione dell'autorità competente. I costi di tale audit sulla sicurezza mirato svolto da un organismo indipendente sono a carico del soggetto sottoposto a audit, salvo in casi debitamente giustificati in cui l'autorità competente decida altrimenti.
3. Nell'esercizio dei loro poteri a norma del paragrafo 2, lettere d), e) o f), le autorità competenti dichiarano la finalità della richiesta e specificano le informazioni richieste.
4. Gli Stati membri provvedono affinché le autorità competenti, nell'esercizio dei rispettivi poteri di esecuzione nei confronti dei soggetti importanti, abbiano il potere come minimo di:
| a) | emanare avvertimenti relativi a violazioni della presente direttiva da parte dei soggetti interessati; |
| b) | adottare istruzioni vincolanti o un'ingiunzione che impongano a tali soggetti di porre rimedio alle carenze individuate o alle violazioni degli obblighi della presente direttiva; |
| c) | imporre ai soggetti interessati di porre termine alle condotte in violazione della presente direttiva e di astenersi dal ripeterle; |
| d) | imporre ai soggetti interessati di provvedere affinché le loro misure di gestione dei rischi di cibersicurezza siano conformi all'articolo 21 o i loro obblighi di segnalazione conformi alle prescrizioni di cui all'articolo 23 in una maniera ed entro un termine specificati; |
| e) | imporre ai soggetti interessati di informare le persone fisiche o giuridiche cui forniscono servizi o per cui svolgono attività potenzialmente interessati da una minaccia_informatica significativa in merito alla natura della minaccia e alle eventuali misure protettive o correttive che possano essere adottate da tali persone fisiche o giuridiche in risposta a tale minaccia; |
| f) | imporre agli interessati di attuare le raccomandazioni fornite in seguito a un audit sulla sicurezza entro un termine ragionevole; |
| g) | imporre ai soggetti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva in una maniera specificata; |
| h) | imporre o chiedere l'imposizione, da parte degli organismi o degli organi giurisdizionali pertinenti secondo la legislazione nazionale, di una sanzione amministrativa pecuniaria a norma dell'articolo 34, in aggiunta a una qualsiasi delle misure di cui al presente paragrafo, lettere da a) a g). |
5. L'articolo 32, paragrafi 6, 7 e 8, si applica mutatis mutandis alle misure di vigilanza ed esecuzione di cui al presente articolo per soggetti importanti.
6. Gli Stati membri provvedono affinché le loro autorità competenti ai sensi della presente direttiva cooperino con le pertinenti autorità competenti dello Stato membro interessato a norma del regolamento (UE) 2022/2554. In particolare, gli Stati membri provvedono affinché le loro autorità competenti a norma della presente direttiva informino il forum di sorveglianza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercitano i propri poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi previsti dalla presente direttiva da parte di un soggetto importante designato come fornitore terzo critico di servizi di TIC a norma dell'articolo 31 del regolamento (UE) 2022/2554.
whereas