NIS2 2022/2555 IT

b)	qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base a un programma, un'elaborazione automatica di dati digitali; o

c)	i dati digitali conservati, elaborati, estratti o trasmessi per mezzo degli elementi di cui alle lettere a) e b), ai fini del loro funzionamento, del loro uso, della loro protezione e della loro manutenzione;

« sicurezza_dei_sistemi_informatici_e_di_rete»: la capacità dei sistemi informatici e di rete di resistere, con un determinato livello di confidenza, agli eventi che potrebbero compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi;

3)	« cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881;

4)	«strategia nazionale per la cibersicurezza»: un quadro coerente di uno Stato membro che prevede priorità e obiettivi strategici in materia di cibersicurezza e la governance per il loro conseguimento in tale Stato membro;

« quasi_ incidente»: un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi, ma che è stato efficacemente evitato o non si è verificato;

6)	« incidente»: un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi;

7)	« incidente di cibersicurezza su vasta scala»: un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri;

8)	« gestione_degli_incidenti»: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e riprendersi da esso;

9)	« rischio»: la potenziale perdita o perturbazione causata da un incidente; è espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che l' incidente si verifichi;

10)	« minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881;

11)

« minaccia_informatica significativa»: una minaccia_informatica che, in base alle sue caratteristiche tecniche, si presume possa avere un grave impatto sui sistemi informatici e di rete di un soggetto o degli utenti di tali servizi del soggetto causando perdite materiali o immateriali considerevoli;

12)	« prodotto_TIC»: un prodotto_TIC quale definito all'articolo 2, punto 12), del regolamento (UE) 2019/881;

13)	« servizio TIC»: un servizio TIC quale definito all'articolo 2, punto 13), del regolamento (UE) 2019/881;

14)	« processo_TIC»: un processo_TIC quale definito all'articolo 2, punto 14), del regolamento (UE) 2019/881;

15)	« vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da una minaccia_informatica;

16)	« norma»: una norma quale definita all'articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (29);

17)	« specifica_tecnica»: una specifica_tecnica quale definita all'articolo 2, punto 4), del regolamento (UE) n. 1025/2012;

18)

« punto_di_interscambio_internet»: un'infrastruttura di rete che consente l'interconnessione di più di due reti indipendenti (sistemi autonomi), principalmente al fine di agevolare lo scambio del traffico internet, che fornisce interconnessione soltanto ai sistemi autonomi e che non richiede che il traffico internet che passa tra qualsiasi coppia di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo né altera o interferisce altrimenti con tale traffico;

19)

« sistema_dei_nomi_di_dominio» o «DNS»: un sistema di nomi gerarchico e distribuito che consente l'identificazione di servizi e risorse su internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di inoltro e connettività di internet al fine di accedere a tali servizi e risorse;

20)

« fornitore_di_servizi_DNS»: un soggetto che fornisce:

a)	servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet; o

b)	servizi di risoluzione dei nomi di dominio autorevoli per uso da parte di terzi, fatta eccezione per i server dei nomi radice;

21)

« registro_dei_nomi_di_dominio_di_primo_livello» o «registro dei nomi TLD»: un soggetto cui è stato delegato uno specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compresi il funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia esternalizzata, ma escludendo le situazioni in cui i nomi TLD sono utilizzati da un registro esclusivamente per uso proprio;

22)	« soggetto_che_fornisce_servizi_di_registrazione_di_nomi_di_dominio»: un registrar o un agente che agisce per conto di registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy;

23)	« servizio_digitale»: un servizio quale definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (30);

24)	« servizio_fiduciario»: un servizio_fiduciario quale definito all'articolo 3, punto 16), del regolamento (UE) n. 910/2014;

25)	« prestatore_di_servizi_fiduciari»: un prestatore_di_servizi_fiduciari quale definito all'articolo 3, punto 19), del regolamento (UE) n. 910/2014;

26)	« servizio_fiduciario qualificato»: un servizio_fiduciario qualificato quale definito all'articolo 3, punto 17), del regolamento (UE) n. 910/2014;

27)	« prestatore_di_servizi_fiduciari qualificato»: un prestatore_di_servizi_fiduciari qualificato quale definito all'articolo 3, punto 20), del regolamento (UE) n. 910/2014;

28)	« mercato_online»: un mercato_online quale definito all'articolo 2, lettera n), della direttiva 2005/29/CE del Parlamento europeo e del Consiglio (31);

29)	« motore_di_ricerca_online»: un motore_di_ricerca_online quale definito all'articolo 2, punto 5), del regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio (32);

30)	« servizio_di_cloud_computing»: un servizio_digitale che consente l'amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche ove tali risorse sono distribuite in varie ubicazioni.

31)

« servizio_di_data_center»: un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare, interconnettere e far funzionare in modo centralizzato apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell'energia e il controllo ambientale;

32)

«rete di distribuzione dei contenuti (content delivery network)»: una rete di server distribuiti geograficamente allo scopo di garantire l'elevata disponibilità, l'accessibilità o la rapida distribuzione di contenuti e servizi digitali agli utenti di internet per conto di fornitori di contenuti e servizi;

33)	« piattaforma_di_servizi_di_social_network»: una piattaforma che consente agli utenti finali di entrare in contatto, condividere, scoprire e comunicare gli uni con gli altri su molteplici dispositivi, in particolare, attraverso chat, post, video e raccomandazioni;

34)

« rappresentante»: una persona fisica o giuridica stabilita nell'Unione espressamente designata ad agire per conto di un fornitore_di_servizi_DNS, un registro dei nomi TLD, un soggetto_che_fornisce_servizi_di_registrazione_di_nomi_di_dominio, un fornitore di servizi di cloud computing, un fornitore di servizi di data center, un fornitore di reti di distribuzione dei contenuti, un fornitore_di_servizi_gestiti, un fornitore_di_servizi_di_sicurezza_gestiti, o un fornitore di mercato_online, di un motore_di_ricerca_online o di una piattaforma_di_servizi_di_social_network che non è stabilito nell'Unione, a cui l'autorità nazionale competente o un CSIRT può rivolgersi in luogo del soggetto per quanto riguarda gli obblighi di quest'ultimo a norma della presente direttiva;

35)

« ente_della_pubblica_amministrazione»: un soggetto riconosciuto come tale in uno Stato membro conformemente al diritto nazionale, che non comprende la magistratura, i parlamenti e le banche centrali, che soddisfa i criteri seguenti:

a)	è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;

b)	è dotato di personalità giuridica o è autorizzato per legge ad agire a nome di un altro soggetto dotato di personalità giuridica;

è finanziato in modo maggioritario dallo Stato, da autorità regionali o da altri organismi di diritto pubblico, la sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o da altri organismi di diritto pubblico;

d)	ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che incidono sui loro diritti relativi alla circolazione transfrontaliera delle merci, delle persone, dei servizi o dei capitali;

36)	« rete_pubblica_di_comunicazione_elettronica»: una rete_pubblica_di_comunicazione_elettronica quale definita all'articolo 2, punto 8), della direttiva (UE) 2018/1972;

37)	« servizio_di_comunicazione_elettronica»: un servizio_di_comunicazione_elettronica quale definito all'articolo 2, punto 4), della direttiva (UE) 2018/1972;

38)	« soggetto»: una persona fisica o giuridica, costituita e riconosciuta come tale conformemente al diritto nazionale applicabile nel suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi;

39)

« fornitore_di_servizi_gestiti»: un soggetto che fornisce servizi relativi all'installazione, alla gestione, al funzionamento o alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qualsiasi altro sistema_informatico_e_di_rete, tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza;

40)	« fornitore_di_servizi_di_sicurezza_gestiti»: un fornitore_di_servizi_di_sicurezza_gestiti che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cibersicurezza;

41)	« organismo_di_ricerca»: un soggetto che ha come obiettivo principale lo svolgimento di attività di ricerca applicata o di sviluppo sperimentale al fine di sfruttare i risultati di tale ricerca a fini commerciali, ma che non comprende gli istituti di istruzione.

CAPO II

QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA

Articolo 6

Definizioni

Ai fini della presente direttiva si applicano le definizioni seguenti:

« sistema_informatico_e_di_rete»:

a)	una rete di comunicazione elettronica quale definita all'articolo 2, punto 1, della direttiva (UE) 2018/1972;

b)	qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base a un programma, un'elaborazione automatica di dati digitali; o

c)	i dati digitali conservati, elaborati, estratti o trasmessi per mezzo degli elementi di cui alle lettere a) e b), ai fini del loro funzionamento, del loro uso, della loro protezione e della loro manutenzione;

3)	« cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881;

4)	«strategia nazionale per la cibersicurezza»: un quadro coerente di uno Stato membro che prevede priorità e obiettivi strategici in materia di cibersicurezza e la governance per il loro conseguimento in tale Stato membro;

6)	« incidente»: un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi;

7)	« incidente di cibersicurezza su vasta scala»: un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri;

8)	« gestione_degli_incidenti»: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a rispondervi e riprendersi da esso;

9)	« rischio»: la potenziale perdita o perturbazione causata da un incidente; è espresso come combinazione dell'entità di tale perdita o perturbazione e della probabilità che l' incidente si verifichi;

10)	« minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881;

11)

12)	« prodotto_TIC»: un prodotto_TIC quale definito all'articolo 2, punto 12), del regolamento (UE) 2019/881;

13)	« servizio TIC»: un servizio TIC quale definito all'articolo 2, punto 13), del regolamento (UE) 2019/881;

14)	« processo_TIC»: un processo_TIC quale definito all'articolo 2, punto 14), del regolamento (UE) 2019/881;

15)	« vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da una minaccia_informatica;

16)	« norma»: una norma quale definita all'articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (29);

17)	« specifica_tecnica»: una specifica_tecnica quale definita all'articolo 2, punto 4), del regolamento (UE) n. 1025/2012;

18)

19)

20)

« fornitore_di_servizi_DNS»: un soggetto che fornisce:

a)	servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet; o

b)	servizi di risoluzione dei nomi di dominio autorevoli per uso da parte di terzi, fatta eccezione per i server dei nomi radice;

21)

22)	« soggetto_che_fornisce_servizi_di_registrazione_di_nomi_di_dominio»: un registrar o un agente che agisce per conto di registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy;

23)	« servizio_digitale»: un servizio quale definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (30);

24)	« servizio_fiduciario»: un servizio_fiduciario quale definito all'articolo 3, punto 16), del regolamento (UE) n. 910/2014;

25)	« prestatore_di_servizi_fiduciari»: un prestatore_di_servizi_fiduciari quale definito all'articolo 3, punto 19), del regolamento (UE) n. 910/2014;

26)	« servizio_fiduciario qualificato»: un servizio_fiduciario qualificato quale definito all'articolo 3, punto 17), del regolamento (UE) n. 910/2014;

27)	« prestatore_di_servizi_fiduciari qualificato»: un prestatore_di_servizi_fiduciari qualificato quale definito all'articolo 3, punto 20), del regolamento (UE) n. 910/2014;

28)	« mercato_online»: un mercato_online quale definito all'articolo 2, lettera n), della direttiva 2005/29/CE del Parlamento europeo e del Consiglio (31);

29)	« motore_di_ricerca_online»: un motore_di_ricerca_online quale definito all'articolo 2, punto 5), del regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio (32);

30)	« servizio_di_cloud_computing»: un servizio_digitale che consente l'amministrazione su richiesta di un pool scalabile ed elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche ove tali risorse sono distribuite in varie ubicazioni.

31)

32)

33)	« piattaforma_di_servizi_di_social_network»: una piattaforma che consente agli utenti finali di entrare in contatto, condividere, scoprire e comunicare gli uni con gli altri su molteplici dispositivi, in particolare, attraverso chat, post, video e raccomandazioni;

34)

35)

a)	è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale;

b)	è dotato di personalità giuridica o è autorizzato per legge ad agire a nome di un altro soggetto dotato di personalità giuridica;

d)	ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che incidono sui loro diritti relativi alla circolazione transfrontaliera delle merci, delle persone, dei servizi o dei capitali;

36)	« rete_pubblica_di_comunicazione_elettronica»: una rete_pubblica_di_comunicazione_elettronica quale definita all'articolo 2, punto 8), della direttiva (UE) 2018/1972;

37)	« servizio_di_comunicazione_elettronica»: un servizio_di_comunicazione_elettronica quale definito all'articolo 2, punto 4), della direttiva (UE) 2018/1972;

38)	« soggetto»: una persona fisica o giuridica, costituita e riconosciuta come tale conformemente al diritto nazionale applicabile nel suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi;

39)

40)	« fornitore_di_servizi_di_sicurezza_gestiti»: un fornitore_di_servizi_di_sicurezza_gestiti che svolge o fornisce assistenza per attività relative alla gestione dei rischi di cibersicurezza;

41)	« organismo_di_ricerca»: un soggetto che ha come obiettivo principale lo svolgimento di attività di ricerca applicata o di sviluppo sperimentale al fine di sfruttare i risultati di tale ricerca a fini commerciali, ma che non comprende gli istituti di istruzione.

CAPO II

QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA

Articolo 26

Giurisdizione e territorialità

1. I soggetti che rientrano nell'ambito di applicazione della presente direttiva sono considerati sotto la giurisdizione dello Stato membro nel quale sono stabiliti, ad eccezione dei casi seguenti:

a)	i fornitori di reti pubbliche di comunicazione elettronica o i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che sono considerati sotto la giurisdizione dello Stato membro nel quale forniscono i loro servizi;

i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online o di piattaforme di servizi di social network, che sono considerati sotto la giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell'Unione a norma del paragrafo 2;

c)	gli enti della pubblica amministrazione, che sono considerati sotto la giurisdizione dello Stato membro che li ha istituiti.

2. Ai fini della presente direttiva, si considera che un soggetto di cui al paragrafo 1, lettera b), abbia il proprio stabilimento principale nell'Unione nello Stato membro in cui sono prevalentemente adottate le decisioni relative alle misure di gestione del rischio di cibersicurezza. Se non è possibile determinare detto Stato membro o se tali decisioni non sono adottate nell'Unione, lo stabilimento principale è considerato essere nello Stato membro in cui sono effettuate le operazioni di cibersicurezza. Se non è possibile determinare detto Stato membro, si considera che lo stabilimento principale sia nello Stato membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti nell'Unione.

3. Se un soggetto di cui al paragrafo 1, lettera b), non è stabilito nell'Unione, ma offre servizi nell'Unione, esso designa un rappresentante nell'Unione. Il rappresentante è stabilito in uno degli Stati membri in cui sono offerti i servizi. Tale soggetto è considerato sotto la giurisdizione dello Stato membro in cui è stabilito il suo rappresentante. Nell'assenza di un rappresentante nell'Unione designato a norma del presente paragrafo, qualsiasi Stato membro in cui il soggetto fornisce servizi può avviare un'azione legale nei confronti del soggetto per violazione degli obblighi della presente direttiva.

4. La designazione di un rappresentante da parte di un soggetto di cui al paragrafo 1, lettera b), fa salve le azioni legali che potrebbero essere avviate nei confronti del soggetto stesso.

5. Gli Stati membri che hanno ricevuto una richiesta di assistenza reciproca in relazione a un soggetto di cui al paragrafo 1, lettera b), possono, entro i limiti della richiesta, adottare misure di vigilanza e di esecuzione adeguate in relazione al soggetto interessato che fornisce servizi o che ha un sistema_informatico_e_di_rete nel loro territorio.

Articolo 27

Registro dei soggetti

1. L'ENISA crea e mantiene un registro di fornitori di servizi DNS, registri dei nomi di dominio di primo livello, soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network sulla base delle informazioni ricevute dai punti di contatto unici conformemente al paragrafo 4. Su richiesta, l'ENISA consente alle autorità competenti di accedere a tale registro, assicurando nel contempo la tutela della riservatezza delle informazioni, se del caso.

2. Gli Stati membri esigono che i soggetti di cui al paragrafo 1 trasmettano entro il 17 gennaio 2025, le informazioni seguenti alle autorità competenti:

a)	il proprio nome;

b)	il settore, il sottosettore e il tipo di soggetto di cui all'allegato I o II, se del caso;

c)	l'indirizzo dello stabilimento principale e degli altri stabilimenti legali del soggetto nell'Unione o, se non è stabilito nell'Unione, del suo rappresentante a norma dell'articolo 26, paragrafo 3;

d)	i dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono del soggetto, e, se opportuno, del suo rappresentante a norma dell'articolo 26, paragrafo 3;

e)	gli Stati membri in cui il soggetto fornisce i suoi servizi; e

f)	le serie di IP del soggetto.

3. Gli Stati membri provvedono affinché i soggetti di cui al paragrafo 1 notifichino all'autorità competente qualsiasi modifica dei dettagli trasmessi a norma del paragrafo 2 tempestivamente e, in ogni caso, entro tre mesi dalla data della modifica.

4. In seguito alla ricezione delle informazioni di cui ai paragrafi 2 e 3, ad eccezione di quelle di cui al paragrafo 2, lettera f), il punto di contatto unico dello Stato membro interessato, senza ritardo, le inoltra all'ENISA.

5. Se opportuno, le informazioni di cui ai paragrafi 2 e 3 del presente articolo sono trasmesse attraverso il meccanismo nazionale di cui all'articolo 3, paragrafo 4, quarto comma.

Articolo 32

Misure di vigilanza e di esecuzione relative a soggetti essenziali

1. Gli Stati membri provvedono affinché le misure di vigilanza o di esecuzione imposte ai soggetti essenziali per quanto riguarda gli obblighi di cui alla presente direttiva siano effettive, proporzionate e dissuasive, tenuto conto delle circostanze di ciascun singolo caso.

2. Gli Stati membri provvedono affinché le autorità competenti, nell'esercizio dei rispettivi compiti di vigilanza nei confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a:

a)	ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati;

b)	audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un'autorità competente;

c)	audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da parte del soggetto essenziale;

d)	scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con il soggetto interessato;

e)	richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell'obbligo di trasmettere informazioni alle autorità competenti a norma dell'articolo 27;

f)	richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza;

g)	richieste di dati che dimostrino l'attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza effettuati da un controllore qualificato e i relativi elementi di prova.

Gli audit sulla sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio effettuate dall'autorità competente o dal soggetto sottoposto ad audit o su altre informazioni disponibili in materia di rischi.

I risultati di eventuali audit sulla sicurezza mirati sono messi a disposizione dell'autorità competente. I costi di tale audit sulla sicurezza mirato svolto da un organismo indipendente sono a carico del soggetto sottoposto ad audit, salvo in casi debitamente giustificati in cui l'autorità competente decida altrimenti.

3. Nell'esercizio dei loro poteri di cui al paragrafo 2, lettera e), f) o g), le autorità competenti dichiarano la finalità della richiesta e specificano le informazioni richieste.

4. Gli Stati membri provvedono affinché le proprie autorità competenti, nell'esercizio dei rispettivi poteri di esecuzione nei confronti dei soggetti essenziali, abbiano il potere come minimo di:

a)	emanare avvertimenti relativi a violazioni della presente direttiva da parte dei soggetti interessati;

adottare istruzioni vincolanti, ivi incluso per quanto riguarda le misure richieste per evitare il verificarsi di un incidente o porvi rimedio, nonché i termini per l'attuazione di tali misure e per riferire in merito alla loro attuazione, o un'ingiunzione che impongano ai soggetti interessati di porre rimedio alle carenze individuate o alle violazioni della direttiva;

c)	imporre ai soggetti interessati di porre termine al comportamento che viola la presente direttiva e di astenersi dal ripeterlo;

d)	imporre ai soggetti interessati di provvedere affinché le loro misure di gestione del rischio di cibersicurezza siano conformi all'articolo 21 o di adempiere gli obblighi di segnalazione di cui all'articolo 23 in una maniera ed entro un termine specificati;

imporre ai soggetti interessati di informare le persone fisiche o giuridiche cui forniscono servizi o per cui svolgono attività che sono potenzialmente interessati da una minaccia_informatica significativa in merito alla natura della minaccia, nonché in merito alle eventuali misure protettive o correttive che possano essere adottate da tali persone fisiche o giuridiche in risposta a tale minaccia;

f)	imporre ai soggetti interessati di attuare le raccomandazioni fornite in seguito a un audit sulla sicurezza entro un termine ragionevole;

g)	designare un funzionario addetto alla sorveglianza con compiti ben definiti nell'arco di un periodo di tempo determinato al fine di vigilare sul rispetto degli articoli 18 e 20;

h)	imporre ai soggetti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva in una maniera specificata;

i)	imporre o chiedere l'imposizione, da parte degli organismi o degli organi giurisdizionali pertinenti secondo il diritto nazionale, di una sanzione amministrativa pecuniaria a norma dell'articolo 34, in aggiunta a qualsiasi delle misure di cui al presente paragrafo, lettere da a) a h).

5. Qualora le misure di esecuzione adottate a norma del paragrafo 4, lettere da a) a d), e lettera f), si rivelino inefficaci, gli Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di fissare un termine entro il quale il soggetto essenziale è tenuto ad adottare le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni di tali autorità. Se le misure richieste non sono adottate entro il termine stabilito, gli Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di:

sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo giurisdizionale, secondo il diritto nazionale, di sospendere temporaneamente un certificato o un'autorizzazione relativi a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale;

chiedere che gli organismi o gli organi giurisdizionali pertinenti, secondo il diritto nazionale, vietino temporaneamente a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto.

Le sospensioni o i divieti temporanei a norma del presente paragrafo sono applicati solo finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni dell'autorità competente per le quali le misure di esecuzione sono state applicate. L'imposizione di tali sospensioni o divieti temporanei è soggetta a garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta, inclusi il diritto a un ricorso effettivo e ad un giusto processo, la presunzione di innocenza e i diritti della difesa.

Le misure di esecuzione previste dal presente paragrafo non sono applicabili agli enti della pubblica amministrazione che sono soggetti alla presente direttiva.

6. Gli Stati membri provvedono affinché qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale sulla base del potere di rappresentarlo, dell'autorità di prendere decisioni per suo conto o dell'autorità di esercitare un controllo su di esso abbia il potere di garantirne il rispetto della presente direttiva. Gli Stati membri provvedono affinché tali persone fisiche possano essere ritenute responsabili dell'inadempimento dei loro doveri di garantire il rispetto della presente direttiva.

Per quanto riguarda gli enti della pubblica amministrazione, il presente paragrafo lascia impregiudicato il diritto nazionale in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati.

7. Nell'adottare qualsiasi misura di esecuzione di cui al paragrafo 4 o 5, le autorità competenti rispettano i diritti della difesa e tengono conto delle circostanze di ciascun singolo caso e almeno degli elementi seguenti:

la gravità della violazione e l'importanza delle disposizioni violate, essendo le violazioni seguenti, tra l'altro, da considerarsi gravi:

i)	le violazioni ripetute;

ii)	la mancata notifica di incidenti significativi o il mancato rimedio a tali incidenti;

iii)	il mancato rimedio alle carenze a seguito di istruzioni vincolanti emesse dalle autorità competenti;

iv)	l'ostacolo degli audit o delle attività di monitoraggio imposte dall'autorità competente a seguito del rilevamento di una violazione;

v)	la fornitura di informazioni false o gravemente inesatte relative alle misure in materia di gestione o segnalazione del rischio di cibersicurezza di cui agli articoli 21 e 23;

b)	la durata della violazione;

c)	eventuali precedenti violazioni pertinenti commesse dal soggetto interessato;

d)	qualsiasi danno materiale o immateriale causato, incluse le perdite finanziarie o economiche, gli effetti sugli altri servizi e il numero di utenti interessati;

e)	un'eventuale condotta intenzionale o negligenza da parte dell'autore della violazione;

f)	qualsiasi misure adottata dal soggetto per prevenire o attenuare il danno materiale o immateriale;

g)	qualsiasi adesione a codici di condotta o meccanismi di certificazione approvati;

h)	il livello di collaborazione delle persone fisiche o giuridiche ritenute responsabili con le autorità competenti.

8. Le autorità competenti espongono nei particolari la motivazione delle loro misure di esecuzione. Prima di adottare tali misure le autorità competenti notificano ai soggetti interessati le loro conclusioni preliminari. Esse concedono inoltre a tali soggetti un tempo ragionevole per presentare osservazioni, salvo in casi debitamente giustificati in cui ciò impedirebbe di agire con immediatezza per prevenire un incidente o rispondervi.

9. Gli Stati membri provvedono affinché le loro autorità competenti di cui alla presente direttiva informino le autorità competenti pertinenti all'interno dello stesso Stato membro a norma della direttiva (UE) 2022/2557 quando esercitano i propri poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi stabiliti dalla presente direttiva da parte di un soggetto identificato come critico a norma della direttiva (UE) 2022/2557. Se del caso, le autorità competenti di cui alla direttiva (UE) 2022/2557 possono chiedere alle autorità competenti di cui alla presente direttiva di esercitare i propri poteri di vigilanza e di esecuzione in relazione a un soggetto che è stato individuato come soggetto critico ai sensi della direttiva (UE) 2022/2557.

10. Gli Stati membri provvedono affinché le loro autorità competenti ai sensi della presente direttiva cooperino con le pertinenti autorità competenti dello Stato membro interessato a norma del regolamento (UE) 2022/2554. In particolare, gli Stati membri provvedono affinché le loro autorità competenti a norma della presente direttiva informino il forum di sorveglianza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercitano i propri poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi previsti dalla presente direttiva da parte di un soggetto essenziale designato come fornitore terzo critico di servizi di TIC a norma dell'articolo 31 del regolamento (UE) 2022/2554

whereas

keyboard_tab NIS2 2022/2555 IT

NIS2 2022/2555 IT