diff --git a/CLAUDE.md b/CLAUDE.md index 7a3bb5e..4862261 100644 --- a/CLAUDE.md +++ b/CLAUDE.md @@ -911,3 +911,28 @@ Standard cross-suite NAVIGAI per piattaforma multitenant esplicita di AgileHub. **Cosa impatta questo prodotto**: se in futuro questo prodotto chiamerà API multitenant-aware di AgileHub (es. /api/marketing, /api/rag, /api/ai/personas), deve passare JWT con tenant_id + tenant_slug claims oppure header `X-Tenant-Slug`. Vedi §6 contracts shared lib `@agile/tenant-auth` per pattern integrazione (Node + Python). Status adoption: acknowledged 2026-05-17. + +--- + +## Integrazione analisi `docs/nis2/` — v1.7.0 (2026-05-29) + +> Integrati i mockup + testi normativi PDF in `docs/nis2/`. Dettaglio e comandi deploy: `docs/nis2/INTEGRAZIONE_COMPLETATA.md`. **Migrazioni 020-022 e ingest KB DA ESEGUIRE su Hetzner** (host MySQL, non `docker exec nis2-db`). + +### Nuove migrazioni (additive, idempotenti) +- `020_asset_relevance.sql` — assets += `relevance_score`, `relevance_criteria` JSON, `relevance_class`, `is_nis2_relevant`, `relevance_assessed_at/by` +- `021_incident_nis2_taxonomy.sql` — incidents += `nis2_incident_type` ENUM(IS-1..IS-4), `entity_obligation` ENUM(essential/important) +- `022_incident_metrics_pir.sql` — incidents += `triaged_at`/`contained_at`/`eradicated_at`/`recovered_at`; nuova tabella `incident_pir` + +### Nuovi file +- `application/config/nis2_sources.php` — **registry canonico FONTI NORMATIVE CERTE** (single source of truth AI + help) +- `application/services/AssetScoringService.php` — scoring rilevanza NIS2 0-100 (6 criteri, GV.OC-04) +- `scripts/ingest-nis2-sources.php` — ingest PDF normativi nella KB Qdrant `nis2_kb` scope SYSTEM + +### Nuovi endpoint +- Assets: `GET /api/assets/scoringGrid`, `POST /api/assets/{id}/score`, `GET /api/assets/relevantSystems` +- Incidents: `GET /api/incidents/{id}/metrics`, `GET /api/incidents/{id}/pir`, `POST /api/incidents/{id}/pir` +- Audit: `GET /api/audit/nistCsfMapping`, `GET /api/audit/relevantSystemsRegister` (registro GV.OC-04 stampabile) + +### REGOLA: Fonti certe (AI + help) +Ogni affermazione normativa di AI e help **deve citare** una fonte di `application/config/nis2_sources.php`. +`AIService::authoritativeSourcesBlock()` è iniettato nei system prompt e **vieta riferimenti inventati**. diff --git a/application/config/nis2_sources.php b/application/config/nis2_sources.php new file mode 100644 index 0000000..ee8b803 --- /dev/null +++ b/application/config/nis2_sources.php @@ -0,0 +1,75 @@ + KB) + */ + +return [ + 'nis2_directive' => [ + 'key' => 'nis2_directive', + 'short' => 'Direttiva NIS2', + 'citation' => 'Direttiva (UE) 2022/2555 (NIS2)', + 'full' => 'Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell\'Unione (NIS2)', + 'file' => 'docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf', + 'authority' => 'Parlamento europeo e Consiglio UE', + 'url' => 'https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555', + ], + 'cer_directive' => [ + 'key' => 'cer_directive', + 'short' => 'Direttiva CER', + 'citation' => 'Direttiva (UE) 2022/2557 (CER)', + 'full' => 'Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa alla resilienza dei soggetti critici (Critical Entities Resilience)', + 'file' => 'docs/nis2/Dir2022_2557_UE_ITA.pdf', + 'authority' => 'Parlamento europeo e Consiglio UE', + 'url' => 'https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2557', + ], + 'dlgs_138_2024' => [ + 'key' => 'dlgs_138_2024', + 'short' => 'D.Lgs. 138/2024', + 'citation' => 'D.Lgs. 4 settembre 2024, n. 138', + 'full' => 'Decreto legislativo 4 settembre 2024, n. 138 - Recepimento della direttiva (UE) 2022/2555 (decreto NIS)', + 'file' => null, + 'authority' => 'Repubblica Italiana', + 'url' => 'https://www.gazzettaufficiale.it/eli/id/2024/09/01/24G00155/sg', + ], + 'determina_164179_2025' => [ + 'key' => 'determina_164179_2025', + 'short' => 'Determina ACN 164179/2025', + 'citation' => 'Determinazione ACN n. 164179 del 14 aprile 2025', + 'full' => 'Determinazione del Direttore generale dell\'Agenzia per la Cybersicurezza Nazionale n. 164179 del 14 aprile 2025, in attuazione del D.Lgs. 138/2024, che stabilisce modalita e specifiche di base per gli obblighi di cui agli articoli 23, 24, 25, 29 e 32 (incluse classificazione e notifica degli incidenti significativi, Allegati 3 e 4).', + 'file' => 'docs/nis2/Determina164179_apr2025.pdf', + 'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)', + 'url' => 'https://www.acn.gov.it/', + ], + 'determina_333017_2025' => [ + 'key' => 'determina_333017_2025', + 'short' => 'Determina ACN 333017/2025', + 'citation' => 'Determinazione ACN n. 333017 del settembre 2025', + 'full' => 'Determinazione del Direttore generale ACN n. 333017 (settembre 2025): termini, modalita e procedimenti di utilizzo e accesso alla piattaforma digitale ACN, ulteriori informazioni che i soggetti devono fornire e designazione dei rappresentanti NIS sul territorio nazionale.', + 'file' => 'docs/nis2/Determina333017_sett2025.pdf', + 'authority' => 'Agenzia per la Cybersicurezza Nazionale (ACN)', + 'url' => 'https://www.acn.gov.it/', + ], + 'ambiti_nis2' => [ + 'key' => 'ambiti_nis2', + 'short' => 'Ambiti NIS2 (Allegati I/II)', + 'citation' => 'Allegati I e II - Settori NIS2', + 'full' => 'Ambiti di applicazione NIS2 - Allegato I (Settori ad alta criticita: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi TIC B2B, PA, spazio) e Allegato II (Altri settori critici).', + 'file' => 'docs/nis2/AmbitiNIS2_ITA.pdf', + 'authority' => 'ACN / Allegati al D.Lgs. 138/2024', + 'url' => 'https://www.acn.gov.it/', + ], +]; diff --git a/application/controllers/AssetController.php b/application/controllers/AssetController.php index 2186ea5..95f2c38 100644 --- a/application/controllers/AssetController.php +++ b/application/controllers/AssetController.php @@ -6,6 +6,7 @@ */ require_once __DIR__ . '/BaseController.php'; +require_once __DIR__ . '/../services/AssetScoringService.php'; class AssetController extends BaseController { @@ -29,6 +30,10 @@ class AssetController extends BaseController $where .= ' AND status = ?'; $params[] = $this->getParam('status'); } + if ($this->hasParam('nis2_relevant')) { + $where .= ' AND is_nis2_relevant = ?'; + $params[] = $this->getParam('nis2_relevant') ? 1 : 0; + } $total = Database::count('assets', $where, $params); $assets = Database::fetchAll( @@ -157,4 +162,116 @@ class AssetController extends BaseController $this->jsonSuccess(['nodes' => $nodes, 'edges' => $edges]); } + + /** + * GET /api/assets/scoringGrid + * Ritorna la griglia ufficiale di valutazione rilevanza NIS2 (GV.OC-04) + * per costruire la UI di scoring lato client. + */ + public function scoringGrid(): void + { + $this->requireOrgAccess(); + $this->jsonSuccess([ + 'grid' => AssetScoringService::GRID, + 'threshold' => AssetScoringService::RELEVANCE_THRESHOLD, + 'classes' => [ + ['key' => 'critico', 'min' => 80, 'max' => 100, 'label' => 'Critico - Priorita Massima'], + ['key' => 'alto', 'min' => 60, 'max' => 79, 'label' => 'Alto - Priorita Alta'], + ['key' => 'medio', 'min' => 40, 'max' => 59, 'label' => 'Medio - Rilevante'], + ['key' => 'basso', 'min' => 20, 'max' => 39, 'label' => 'Basso - Monitoraggio'], + ['key' => 'trascurabile', 'min' => 0, 'max' => 19, 'label' => 'Trascurabile'], + ], + ]); + } + + /** + * POST /api/assets/{id}/score + * Calcola e salva la rilevanza NIS2 dell'asset a partire dalle selezioni + * sui 6 criteri. Body: { criteria: { c1_operational_criticality: 'critical', ... } } + */ + public function score(int $id): void + { + $this->requireOrgRole(['org_admin', 'compliance_manager']); + + $asset = Database::fetchOne( + 'SELECT id FROM assets WHERE id = ? AND organization_id = ?', + [$id, $this->getCurrentOrgId()] + ); + if (!$asset) { + $this->jsonError('Asset non trovato', 404, 'ASSET_NOT_FOUND'); + } + + $criteria = $this->getParam('criteria'); + if (!is_array($criteria)) { + $this->jsonError('Campo "criteria" mancante o non valido', 422, 'INVALID_CRITERIA'); + } + + try { + $result = AssetScoringService::calculate($criteria); + } catch (InvalidArgumentException $e) { + $this->jsonError($e->getMessage(), 422, 'INVALID_CRITERIA'); + return; + } + + Database::update('assets', [ + 'relevance_score' => $result['score'], + 'relevance_criteria' => json_encode($result['breakdown'], JSON_UNESCAPED_UNICODE), + 'relevance_class' => $result['class'], + 'is_nis2_relevant' => $result['is_relevant'] ? 1 : 0, + 'criticality' => $result['criticality'], + 'relevance_assessed_at' => date('Y-m-d H:i:s'), + 'relevance_assessed_by' => $this->getCurrentUserId(), + ], 'id = ? AND organization_id = ?', [$id, $this->getCurrentOrgId()]); + + $this->logAudit('asset_scored', 'asset', $id, [ + 'score' => $result['score'], + 'class' => $result['class'], + ]); + + $this->jsonSuccess([ + 'score' => $result['score'], + 'class' => $result['class'], + 'is_nis2_relevant' => $result['is_relevant'], + 'breakdown' => $result['breakdown'], + 'required_measures'=> AssetScoringService::requiredMeasures($result['class']), + ], 'Rilevanza NIS2 calcolata'); + } + + /** + * GET /api/assets/relevantSystems + * Elenco dei sistemi classificati rilevanti NIS2 (score >= 40), ordinati + * per punteggio. Alimenta il registro formale "Sistemi Rilevanti" (GV.OC-04). + */ + public function relevantSystems(): void + { + $this->requireOrgAccess(); + + $rows = Database::fetchAll( + "SELECT a.id, a.name, a.asset_type, a.category, a.ip_address, a.location, + a.relevance_score, a.relevance_class, a.relevance_criteria, + a.relevance_assessed_at, u.full_name AS owner_name + FROM assets a + LEFT JOIN users u ON u.id = a.owner_user_id + WHERE a.organization_id = ? AND a.is_nis2_relevant = 1 + ORDER BY a.relevance_score DESC, a.name", + [$this->getCurrentOrgId()] + ); + + $stats = ['critico' => 0, 'alto' => 0, 'medio' => 0]; + foreach ($rows as &$r) { + $r['relevance_criteria'] = json_decode($r['relevance_criteria'] ?? 'null', true); + $r['required_measures'] = AssetScoringService::requiredMeasures($r['relevance_class'] ?? ''); + if (isset($stats[$r['relevance_class']])) { + $stats[$r['relevance_class']]++; + } + } + unset($r); + + $this->jsonSuccess([ + 'systems' => $rows, + 'count' => count($rows), + 'by_class' => $stats, + 'threshold' => AssetScoringService::RELEVANCE_THRESHOLD, + ]); + } } diff --git a/application/controllers/AuditController.php b/application/controllers/AuditController.php index 2261852..1263ac3 100644 --- a/application/controllers/AuditController.php +++ b/application/controllers/AuditController.php @@ -195,6 +195,83 @@ class AuditController extends BaseController $this->jsonSuccess($mapping); } + /** + * GET /api/audit/nistCsfMapping + * Layer di mapping NIST CSF 2.0 (43 controlli) -> NIS2 Art.21 / D.Lgs.138/2024 -> modulo piattaforma. + * Reference-only (nessuna persistenza): arricchisce l'assessment Art.21 con i codici controllo + * NIST CSF 2.0 usati come standard de-facto. Fonte mapping: NIST CSF 2.0 + Direttiva (UE) 2022/2555. + */ + public function getNistCsfMapping(): void + { + $this->requireOrgAccess(); + + // [code, function, nis2, module] + $rows = [ + // GOVERN + ['GV.OC-04', 'Govern', '21.1', 'Asset - Sistemi rilevanti (GV.OC-04)'], + ['GV.RM-03', 'Govern', '21.2.a', 'Risk Management'], + ['GV.RR-02', 'Govern', '20', 'Organizzazione - Ruoli e responsabilita'], + ['GV.RR-04', 'Govern', '20', 'Organizzazione - Risorse cybersecurity'], + ['GV.PO-01', 'Govern', '21.2.a', 'Policy - Politica di sicurezza'], + ['GV.PO-02', 'Govern', '21.2.a', 'Policy - Revisione politiche'], + ['GV.SC-01', 'Govern', '21.2.d', 'Supply Chain - Strategia'], + ['GV.SC-02', 'Govern', '21.2.d', 'Supply Chain - Ruoli fornitori'], + ['GV.SC-04', 'Govern', '21.2.d', 'Supply Chain - Valutazione fornitori'], + ['GV.SC-05', 'Govern', '21.2.d', 'Supply Chain - Requisiti contrattuali'], + ['GV.SC-07', 'Govern', '21.2.d', 'Supply Chain - Monitoraggio rischio fornitori'], + // IDENTIFY + ['ID.AM-01', 'Identify', '21.2.i', 'Asset - Inventario hardware'], + ['ID.AM-02', 'Identify', '21.2.i', 'Asset - Inventario software'], + ['ID.AM-03', 'Identify', '21.2.i', 'Asset - Diagrammi flussi/rete (essenziali)'], + ['ID.AM-04', 'Identify', '21.2.i', 'Asset - Catalogo servizi'], + ['ID.RA-01', 'Identify', '21.2.a', 'Risk Management - Vulnerabilita'], + ['ID.RA-05', 'Identify', '21.2.a', 'Risk Management - Valutazione rischio'], + ['ID.RA-06', 'Identify', '21.2.a', 'Risk Management - Trattamento rischio'], + ['ID.RA-08', 'Identify', '21.2.e', 'Risk Management - Gestione vulnerabilita/disclosure'], + ['ID.IM-01', 'Identify', '21.2.f', 'Audit - Miglioramento da valutazioni'], + ['ID.IM-04', 'Identify', '21.2.c', 'Incidenti - Piani BC/DR e test'], + // PROTECT + ['PR.AA-01', 'Protect', '21.2.i', 'Asset/Access - Gestione identita'], + ['PR.AA-03', 'Protect', '21.2.i', 'Access - Autenticazione'], + ['PR.AA-05', 'Protect', '21.2.i', 'Access - Privilegi e accessi'], + ['PR.AA-06', 'Protect', '21.2.i', 'Access - Accesso fisico'], + ['PR.AT-01', 'Protect', '21.2.g', 'Training - Awareness'], + ['PR.AT-02', 'Protect', '21.2.g', 'Training - Ruoli privilegiati'], + ['PR.DS-01', 'Protect', '21.2.h', 'Policy - Protezione dati a riposo'], + ['PR.DS-02', 'Protect', '21.2.h', 'Policy - Protezione dati in transito'], + ['PR.DS-11', 'Protect', '21.2.c', 'Incidenti - Backup'], + ['PR.PS-01', 'Protect', '21.2.e', 'Policy - Configurazione sicura'], + ['PR.PS-02', 'Protect', '21.2.e', 'Asset - Gestione software'], + ['PR.PS-03', 'Protect', '21.2.e', 'Asset - Gestione hardware'], + ['PR.PS-04', 'Protect', '21.2.b', 'Audit - Log generation'], + ['PR.PS-06', 'Protect', '21.2.e', 'Policy - Secure development lifecycle'], + ['PR.IR-01', 'Protect', '21.2.i', 'Asset - Protezione reti'], + ['PR.IR-03', 'Protect', '21.2.c', 'Incidenti - Resilienza/ridondanza'], + // DETECT + ['DE.CM-01', 'Detect', '21.2.b', 'Incidenti - Monitoraggio reti'], + ['DE.CM-09', 'Detect', '21.2.b', 'Incidenti - Monitoraggio asset/sistemi'], + // RESPOND / RECOVER + ['RS.MA-01', 'Respond', '21.2.b / 23', 'Incidenti - Gestione incidenti'], + ['RS.CO-02', 'Respond', '23', 'Incidenti - Notifica CSIRT'], + ['RC.RP-01', 'Recover', '21.2.c', 'Incidenti - Piano di ripristino'], + ['RC.CO-03', 'Recover', '21.2.c', 'Incidenti - Post-Incident Review'], + ]; + + $mapping = array_map(fn($r) => [ + 'csf_code' => $r[0], + 'function' => $r[1], + 'nis2_art' => $r[2], + 'module' => $r[3], + ], $rows); + + $this->jsonSuccess([ + 'mapping' => $mapping, + 'count' => count($mapping), + 'functions' => ['Govern', 'Identify', 'Protect', 'Detect', 'Respond', 'Recover'], + 'source' => 'NIST Cybersecurity Framework 2.0 + Direttiva (UE) 2022/2555 (NIS2) Art.20-21-23 / D.Lgs. 138/2024', + ]); + } + /** * GET /api/audit/executive-report * Genera report esecutivo HTML (stampabile come PDF) @@ -211,6 +288,22 @@ class AuditController extends BaseController exit; } + /** + * GET /api/audit/relevantSystemsRegister + * Registro formale "Sistemi Rilevanti NIS2" (GV.OC-04), HTML stampabile. + */ + public function relevantSystemsRegister(): void + { + $this->requireOrgRole(['org_admin', 'compliance_manager', 'board_member', 'auditor']); + + $reportService = new ReportService(); + $html = $reportService->generateRelevantSystemsRegister($this->getCurrentOrgId()); + + header('Content-Type: text/html; charset=utf-8'); + echo $html; + exit; + } + /** * GET /api/audit/export/{type} * Esporta dati in CSV diff --git a/application/controllers/IncidentController.php b/application/controllers/IncidentController.php index 813088b..b4cf92e 100644 --- a/application/controllers/IncidentController.php +++ b/application/controllers/IncidentController.php @@ -59,6 +59,17 @@ class IncidentController extends BaseController $detectedAt = $this->getParam('detected_at'); $isSignificant = (bool) $this->getParam('is_significant', false); + // Regime obblighi NIS2 (Determina ACN 164179/2025): Allegato 3 essenziali / Allegato 4 importanti. + $org = Database::fetchOne('SELECT entity_type FROM organizations WHERE id = ?', [$this->getCurrentOrgId()]); + $entityObligation = ($org && ($org['entity_type'] ?? '') === 'essential') ? 'essential' : 'important'; + + // IS-4 (incidenti ricorrenti) non si applica ai soggetti importanti. + $isType = $this->getParam('nis2_incident_type'); + $validIs = $entityObligation === 'essential' ? ['IS-1','IS-2','IS-3','IS-4'] : ['IS-1','IS-2','IS-3']; + if ($isType !== null && !in_array($isType, $validIs, true)) { + $isType = null; + } + $data = [ 'organization_id' => $this->getCurrentOrgId(), 'incident_code' => $this->generateCode('INC'), @@ -67,6 +78,8 @@ class IncidentController extends BaseController 'classification' => $this->getParam('classification'), 'severity' => $this->getParam('severity'), 'is_significant' => $isSignificant ? 1 : 0, + 'nis2_incident_type' => $isType, + 'entity_obligation' => $entityObligation, 'detected_at' => $detectedAt, 'affected_services' => $this->getParam('affected_services'), 'affected_users_count' => $this->getParam('affected_users_count'), @@ -173,9 +186,9 @@ class IncidentController extends BaseController $updates = []; $allowedFields = [ 'title', 'description', 'classification', 'severity', 'is_significant', - 'status', 'affected_services', 'affected_users_count', 'cross_border_impact', - 'malicious_action', 'root_cause', 'remediation_actions', 'lessons_learned', - 'assigned_to', + 'nis2_incident_type', 'status', 'affected_services', 'affected_users_count', + 'cross_border_impact', 'malicious_action', 'root_cause', 'remediation_actions', + 'lessons_learned', 'assigned_to', ]; foreach ($allowedFields as $field) { @@ -184,9 +197,24 @@ class IncidentController extends BaseController } } - // Se chiuso, registra data - if (isset($updates['status']) && $updates['status'] === 'closed') { - $updates['closed_at'] = date('Y-m-d H:i:s'); + // Timbra automaticamente i timestamp di fase al primo ingresso nello stato + // (per il calcolo metriche TTD/TTC/TTR). Non sovrascrive valori gia' presenti. + if (isset($updates['status'])) { + $now = date('Y-m-d H:i:s'); + $stamp = [ + 'analyzing' => 'triaged_at', + 'containing' => 'contained_at', + 'eradicating'=> 'eradicated_at', + 'recovering' => 'recovered_at', + ]; + $col = $stamp[$updates['status']] ?? null; + if ($col !== null && empty($incident[$col])) { + $updates[$col] = $now; + } + if ($updates['status'] === 'closed') { + $updates['closed_at'] = $now; + if (empty($incident['recovered_at'])) $updates['recovered_at'] = $now; + } } // Se diventa significativo, calcola scadenze @@ -392,4 +420,127 @@ class IncidentController extends BaseController $this->jsonError('Errore AI: ' . $e->getMessage(), 500, 'AI_ERROR'); } } + + /** + * GET /api/incidents/{id}/metrics + * Calcola TTD/TTC/TTR e downtime dai timestamp di fase (in minuti). + */ + public function metrics(int $id): void + { + $this->requireOrgAccess(); + $inc = Database::fetchOne( + 'SELECT detected_at, triaged_at, contained_at, eradicated_at, recovered_at, closed_at, affected_users_count + FROM incidents WHERE id = ? AND organization_id = ?', + [$id, $this->getCurrentOrgId()] + ); + if (!$inc) { + $this->jsonError('Incidente non trovato', 404, 'INCIDENT_NOT_FOUND'); + } + $this->jsonSuccess($this->computeMetrics($inc)); + } + + /** Differenza in minuti tra due datetime, null se mancante. */ + private function minutesBetween(?string $from, ?string $to): ?int + { + if (empty($from) || empty($to)) return null; + $a = strtotime($from); $b = strtotime($to); + if ($a === false || $b === false) return null; + return (int) round(($b - $a) / 60); + } + + private function computeMetrics(array $inc): array + { + $det = $inc['detected_at'] ?? null; + return [ + 'ttd_minutes' => $this->minutesBetween($det, $inc['triaged_at'] ?? null), + 'ttc_minutes' => $this->minutesBetween($det, $inc['contained_at'] ?? null), + 'ttr_minutes' => $this->minutesBetween($det, $inc['recovered_at'] ?? null), + 'downtime_minutes' => $this->minutesBetween($det, $inc['recovered_at'] ?? $inc['closed_at'] ?? null), + 'affected_users' => isset($inc['affected_users_count']) ? (int) $inc['affected_users_count'] : null, + ]; + } + + /** + * GET /api/incidents/{id}/pir + * Ritorna la Post-Incident Review (RC.CO-03) con le metriche calcolate. + */ + public function getPir(int $id): void + { + $this->requireOrgAccess(); + $inc = Database::fetchOne( + 'SELECT * FROM incidents WHERE id = ? AND organization_id = ?', + [$id, $this->getCurrentOrgId()] + ); + if (!$inc) { + $this->jsonError('Incidente non trovato', 404, 'INCIDENT_NOT_FOUND'); + } + $pir = Database::fetchOne('SELECT * FROM incident_pir WHERE incident_id = ?', [$id]); + if ($pir && !empty($pir['improvement_actions'])) { + $pir['improvement_actions'] = json_decode($pir['improvement_actions'], true); + } + $this->jsonSuccess([ + 'pir' => $pir, + 'metrics' => $this->computeMetrics($inc), + 'reference' => 'RC.CO-03 (NIST CSF) - PIR da completare entro 2 settimane dalla chiusura per incidenti critici', + ]); + } + + /** + * POST /api/incidents/{id}/pir + * Crea o aggiorna la Post-Incident Review (upsert). + */ + public function savePir(int $id): void + { + $this->requireOrgRole(['org_admin', 'compliance_manager']); + $inc = Database::fetchOne( + 'SELECT * FROM incidents WHERE id = ? AND organization_id = ?', + [$id, $this->getCurrentOrgId()] + ); + if (!$inc) { + $this->jsonError('Incidente non trovato', 404, 'INCIDENT_NOT_FOUND'); + } + + $m = $this->computeMetrics($inc); + $actions = $this->getParam('improvement_actions'); + + $fields = [ + 'organization_id' => $this->getCurrentOrgId(), + 'problem_statement' => $this->getParam('problem_statement'), + 'why_1' => $this->getParam('why_1'), 'why_2' => $this->getParam('why_2'), + 'why_3' => $this->getParam('why_3'), 'why_4' => $this->getParam('why_4'), + 'why_5' => $this->getParam('why_5'), + 'root_cause' => $this->getParam('root_cause'), + 'ttd_minutes' => $m['ttd_minutes'], + 'ttc_minutes' => $m['ttc_minutes'], + 'ttr_minutes' => $m['ttr_minutes'], + 'downtime_minutes' => $m['downtime_minutes'], + 'affected_users' => $m['affected_users'], + 'estimated_cost_eur' => $this->getParam('estimated_cost_eur'), + 'notification_compliance' => $this->getParam('notification_compliance') !== null ? (int)(bool)$this->getParam('notification_compliance') : null, + 'what_went_well' => $this->getParam('what_went_well'), + 'what_to_improve' => $this->getParam('what_to_improve'), + 'improvement_actions' => is_array($actions) ? json_encode($actions, JSON_UNESCAPED_UNICODE) : null, + 'participants' => $this->getParam('participants'), + 'reviewed_by' => $this->getCurrentUserId(), + 'reviewed_at' => date('Y-m-d H:i:s'), + 'status' => $this->getParam('status', 'draft'), + ]; + + $existing = Database::fetchOne('SELECT id FROM incident_pir WHERE incident_id = ?', [$id]); + if ($existing) { + Database::update('incident_pir', $fields, 'incident_id = ?', [$id]); + $pirId = (int) $existing['id']; + } else { + $fields['incident_id'] = $id; + $pirId = Database::insert('incident_pir', $fields); + } + + // Se la root cause e' definita, allineala anche all'incidente (campo legacy) + if (!empty($fields['root_cause'])) { + Database::update('incidents', ['root_cause' => $fields['root_cause']], 'id = ?', [$id]); + } + + $this->logAudit('incident_pir_saved', 'incident', $id, ['pir_id' => $pirId, 'status' => $fields['status']]); + $this->jsonSuccess(['pir_id' => $pirId, 'metrics' => $m], 'Post-Incident Review salvata'); + } } diff --git a/application/services/AIService.php b/application/services/AIService.php index 7138034..aba4f8b 100644 --- a/application/services/AIService.php +++ b/application/services/AIService.php @@ -28,6 +28,32 @@ class AIService } } + /** + * Blocco "fonti certe" da iniettare nei system prompt. + * Elenca le fonti normative autoritative e impone di citarle, vietando + * riferimenti inventati. (Richiesta utente 2026-05-29 - grounding su fonti certe.) + */ + private function authoritativeSourcesBlock(): string + { + static $sources = null; + if ($sources === null) { + $sources = @include __DIR__ . '/../config/nis2_sources.php'; + if (!is_array($sources)) $sources = []; + } + if (empty($sources)) return ''; + + $lines = []; + foreach ($sources as $s) { + $lines[] = '- ' . $s['citation'] . ' — ' . $s['authority']; + } + return "\n## FONTI NORMATIVE CERTE (cita SEMPRE quella pertinente)\n" + . implode("\n", $lines) + . "\n\nREGOLE SULLE FONTI (vincolanti):\n" + . "1. Ogni affermazione normativa DEVE essere ancorata a una di queste fonti, citata esplicitamente (es. \"ai sensi dell'art. 23 della Direttiva (UE) 2022/2555\" o \"Determinazione ACN n. 164179/2025, Allegato 3\").\n" + . "2. NON inventare numeri di articolo, determine, allegati o date: se non sei certo, dichiaralo e invita a verificare la fonte ufficiale.\n" + . "3. Preferisci sempre il riferimento normativo italiano (D.Lgs. 138/2024 + Determine ACN) per gli obblighi operativi, e la Direttiva UE per i principi.\n"; + } + /** * Analizza risultati gap analysis e genera raccomandazioni */ @@ -162,8 +188,23 @@ PROMPT; */ public function classifyIncident(string $title, string $description, array $organization): array { + $entityType = $organization['entity_type'] ?? 'important'; + // Allegato 3 (soggetti essenziali) vs Allegato 4 (soggetti importanti): + // gli importanti NON hanno l'obbligo sugli incidenti ricorrenti (IS-4). + $isEssential = ($entityType === 'essential'); + $allowedIs = $isEssential ? 'IS-1|IS-2|IS-3|IS-4' : 'IS-1|IS-2|IS-3'; + $allegato = $isEssential ? 'Allegato 3 (soggetti essenziali)' : 'Allegato 4 (soggetti importanti)'; + $sourcesBlock = $this->authoritativeSourcesBlock(); + $prompt = <<callAPI($prompt); @@ -219,6 +262,12 @@ Rispondi sempre in italiano, in modo professionale, preciso e conciso. Non includere dati identificativi dell'organizzazione nelle risposte. SYSTEM; + // Grounding su fonti certe: applicato solo al prompt di default + // (i system prompt espliciti gestiscono le fonti per conto proprio). + if ($systemPrompt === null) { + $system .= "\n" . $this->authoritativeSourcesBlock(); + } + $body = [ 'model' => $this->model, 'max_tokens' => $this->maxTokens, @@ -602,7 +651,8 @@ PROMPT; } $systemPrompt = "Sei un esperto consulente di cybersecurity NIS2 (EU 2022/2555) e D.Lgs. 138/2024.\n" - . "Rispondi in modo preciso e cita le fonti del contesto quando rilevanti.\n"; + . "Rispondi in modo preciso e cita le fonti del contesto quando rilevanti.\n" + . $this->authoritativeSourcesBlock(); if (!empty($contextBlock)) { $systemPrompt .= "\n## Contesto documentale (knowledge base)\n" . $contextBlock . "\n\nQuando rispondi, cita esplicitamente i numeri tra parentesi quadre [1], [2], ... che corrispondono ai documenti del contesto."; diff --git a/application/services/AssetScoringService.php b/application/services/AssetScoringService.php new file mode 100644 index 0000000..31a36b7 --- /dev/null +++ b/application/services/AssetScoringService.php @@ -0,0 +1,202 @@ += 40. + * Classi: >=80 critico | 60-79 alto | 40-59 medio | 20-39 basso | <20 trascurabile. + * + * La logica e' PURA (nessun side effect / DB): si presta a unit test e riuso. + */ +class AssetScoringService +{ + public const RELEVANCE_THRESHOLD = 40; + + /** + * Griglia ufficiale: per ogni criterio, la lista di opzioni selezionabili + * (value => punti) con label per la UI. value e' una chiave stabile usata + * dal frontend e salvata in relevance_criteria JSON. + */ + public const GRID = [ + 'c1_operational_criticality' => [ + 'label' => 'Criticita Operativa', + 'max' => 25, + 'help' => 'Quanto il sistema e essenziale per l\'erogazione dei servizi core business.', + 'options' => [ + 'critical' => ['label' => 'Critico', 'points' => 25], + 'very_high' => ['label' => 'Molto Alto', 'points' => 20], + 'high' => ['label' => 'Alto', 'points' => 15], + 'medium' => ['label' => 'Medio', 'points' => 10], + 'low' => ['label' => 'Basso', 'points' => 5], + 'negligible' => ['label' => 'Trascurabile', 'points' => 0], + ], + ], + 'c2_disruption_impact' => [ + 'label' => 'Impatto Interruzione', + 'max' => 25, + 'help' => 'Conseguenze di un\'interruzione in termini di durata e utenti impattati.', + 'options' => [ + 'gt24h_gt70' => ['label' => '>24h + >70% utenti', 'points' => 25], + 'h8_24_50_70' => ['label' => '8-24h + 50-70% utenti', 'points' => 20], + 'h4_8_30_50' => ['label' => '4-8h + 30-50% utenti', 'points' => 15], + 'h1_4_10_30' => ['label' => '1-4h + 10-30% utenti', 'points' => 10], + 'lt1h_lt10' => ['label' => '<1h + <10% utenti', 'points' => 5], + 'none' => ['label' => 'Nessun impatto', 'points' => 0], + ], + ], + 'c3_data_processed' => [ + 'label' => 'Dati Trattati', + 'max' => 20, + 'help' => 'Sensibilita e criticita dei dati gestiti dal sistema.', + 'options' => [ + 'gdpr_art9' => ['label' => 'Dati Sensibili Art.9 GDPR', 'points' => 20], + 'personal_large' => ['label' => 'Dati Personali larga scala', 'points' => 15], + 'personal_fin' => ['label' => 'Dati Personali + Finanziari', 'points' => 10], + 'confidential' => ['label' => 'Dati Aziendali Riservati', 'points' => 5], + 'public' => ['label' => 'Dati Pubblici', 'points' => 0], + ], + ], + 'c4_dependencies' => [ + 'label' => 'Dipendenze', + 'max' => 15, + 'help' => 'Quanti altri sistemi critici dipendono da questo sistema.', + 'options' => [ + 'ge5_critical' => ['label' => '>=5 sistemi critici', 'points' => 15], + 'n3_4_critical' => ['label' => '3-4 sistemi critici', 'points' => 12], + 'n2_critical' => ['label' => '2 sistemi critici', 'points' => 9], + 'n1_critical' => ['label' => '1 sistema critico', 'points' => 6], + 'noncritical' => ['label' => '1-2 sistemi non critici', 'points' => 3], + 'none' => ['label' => 'Nessuna dipendenza', 'points' => 0], + ], + ], + 'c5_exposure' => [ + 'label' => 'Esposizione', + 'max' => 10, + 'help' => 'Superficie di attacco ed esposizione del sistema.', + 'options' => [ + 'internet_no_mfa' => ['label' => 'Internet pubblico senza MFA', 'points' => 10], + 'internet_mfa' => ['label' => 'Internet con MFA', 'points' => 8], + 'partner_net' => ['label' => 'Reti partner/fornitori', 'points' => 6], + 'intranet' => ['label' => 'Rete aziendale intranet', 'points' => 4], + 'mgmt_isolated' => ['label' => 'Rete gestione isolata', 'points' => 2], + 'air_gapped' => ['label' => 'Completamente isolato', 'points' => 0], + ], + ], + 'c6_regulatory' => [ + 'label' => 'Obblighi Normativi', + 'max' => 5, + 'help' => 'Se il sistema e soggetto a obblighi normativi o contrattuali specifici.', + 'options' => [ + 'nis2_required' => ['label' => 'Richiesto da NIS2', 'points' => 5], + 'mandatory_cert' => ['label' => 'Certificazioni obbligatorie', 'points' => 4], + 'strict_sla' => ['label' => 'Obblighi SLA stringenti', 'points' => 3], + 'external_audit' => ['label' => 'Audit esterni regolari', 'points' => 2], + 'none' => ['label' => 'Nessun obbligo', 'points' => 0], + ], + ], + ]; + + /** + * Calcola lo score a partire dalle selezioni dell'utente. + * + * @param array $criteria mappa criterioKey => optionValue + * es. ['c1_operational_criticality' => 'critical', ...] + * @return array{score:int, class:string, is_relevant:bool, breakdown:array, criticality:string} + * @throws InvalidArgumentException se un criterio/opzione non e valido + */ + public static function calculate(array $criteria): array + { + $score = 0; + $breakdown = []; + + foreach (self::GRID as $key => $def) { + if (!array_key_exists($key, $criteria)) { + throw new InvalidArgumentException("Criterio mancante: {$key}"); + } + $optVal = $criteria[$key]; + if (!isset($def['options'][$optVal])) { + throw new InvalidArgumentException("Opzione non valida '{$optVal}' per criterio {$key}"); + } + $pts = $def['options'][$optVal]['points']; + $score += $pts; + $breakdown[$key] = [ + 'value' => $optVal, + 'label' => $def['options'][$optVal]['label'], + 'points' => $pts, + 'max' => $def['max'], + ]; + } + + $class = self::classify($score); + + return [ + 'score' => $score, + 'class' => $class, + 'is_relevant' => $score >= self::RELEVANCE_THRESHOLD, + 'breakdown' => $breakdown, + // mapping verso l'enum legacy assets.criticality per coerenza UI esistente + 'criticality' => self::toLegacyCriticality($score), + ]; + } + + /** Classe testuale secondo le soglie ufficiali. */ + public static function classify(int $score): string + { + if ($score >= 80) return 'critico'; + if ($score >= 60) return 'alto'; + if ($score >= 40) return 'medio'; + if ($score >= 20) return 'basso'; + return 'trascurabile'; + } + + /** Allinea lo score all'enum assets.criticality preesistente (low/medium/high/critical). */ + public static function toLegacyCriticality(int $score): string + { + if ($score >= 80) return 'critical'; + if ($score >= 60) return 'high'; + if ($score >= 40) return 'medium'; + return 'low'; + } + + /** Misure obbligatorie associate alla classe (per report GV.OC-04 / UI). */ + public static function requiredMeasures(string $class): array + { + return [ + 'critico' => [ + 'Monitoraggio continuo 24/7 (SIEM/SOC)', + 'Backup immutabile con test ripristino periodico', + 'MFA obbligatoria + accessi privilegiati controllati (PAM)', + 'Inclusione obbligatoria in BIA e piano di continuita', + 'Test di vulnerabilita/penetration test almeno annuali', + ], + 'alto' => [ + 'Monitoraggio in orario lavorativo + alerting', + 'Backup regolari con verifica integrita', + 'MFA per accessi remoti', + 'Inclusione in risk assessment ciclico', + ], + 'medio' => [ + 'Logging centralizzato', + 'Backup periodici', + 'Patch management documentato', + ], + 'basso' => [ + 'Inventario aggiornato', + 'Patch management standard', + ], + 'trascurabile' => [ + 'Censimento in inventario asset', + ], + ][$class] ?? []; + } +} diff --git a/application/services/ReportService.php b/application/services/ReportService.php index 6e6ce29..95638fb 100644 --- a/application/services/ReportService.php +++ b/application/services/ReportService.php @@ -255,6 +255,118 @@ class ReportService * @param int $orgId ID dell'organizzazione * @return string Documento HTML completo */ + /** + * Registro formale "Elenco Sistemi Rilevanti NIS2" (requisito GV.OC-04). + * HTML stampabile (PDF via stampa browser). Cita le fonti normative certe. + * Adattato dal mockup docs/nis2/doc-relevant-systems.html. + */ + public function generateRelevantSystemsRegister(int $orgId): string + { + $org = Database::fetchOne('SELECT name, sector, entity_type FROM organizations WHERE id = ?', [$orgId]); + if (!$org) { + return $this->buildErrorHtml('Organizzazione non trovata'); + } + + $systems = Database::fetchAll( + "SELECT a.name, a.asset_type, a.category, a.ip_address, a.location, + a.relevance_score, a.relevance_class, a.relevance_assessed_at, + u.full_name AS owner_name + FROM assets a + LEFT JOIN users u ON u.id = a.owner_user_id + WHERE a.organization_id = ? AND a.is_nis2_relevant = 1 + ORDER BY a.relevance_score DESC, a.name", + [$orgId] + ); + + $orgName = htmlspecialchars($org['name'] ?? '', ENT_QUOTES, 'UTF-8'); + $entity = htmlspecialchars($org['entity_type'] ?? '', ENT_QUOTES, 'UTF-8'); + $sector = htmlspecialchars($org['sector'] ?? '', ENT_QUOTES, 'UTF-8'); + $date = date('d/m/Y'); + $appName = defined('APP_NAME') ? APP_NAME : 'NIS2 Agile'; + $appVer = defined('APP_VERSION') ? APP_VERSION : '1.0.0'; + + $classColors = ['critico' => '#dc2626', 'alto' => '#ea580c', 'medio' => '#ca8a04']; + $counts = ['critico' => 0, 'alto' => 0, 'medio' => 0]; + + $rowsHtml = ''; + if (empty($systems)) { + $rowsHtml = 'Nessun sistema classificato come rilevante (score ≥ 40). Eseguire la valutazione di rilevanza dal modulo Inventario Asset.'; + } else { + $n = 0; + foreach ($systems as $s) { + $n++; + $cls = $s['relevance_class'] ?? 'medio'; + if (isset($counts[$cls])) $counts[$cls]++; + $color = $classColors[$cls] ?? '#6b7280'; + $rowsHtml .= '' + . '' . $n . '' + . '' . htmlspecialchars($s['name'], ENT_QUOTES, 'UTF-8') . '' + . '' . htmlspecialchars(($s['asset_type'] ?? '') . ($s['category'] ? ' / ' . $s['category'] : ''), ENT_QUOTES, 'UTF-8') . '' + . '' . htmlspecialchars($s['ip_address'] ?: '-', ENT_QUOTES, 'UTF-8') . '' + . '' . htmlspecialchars($s['owner_name'] ?: '-', ENT_QUOTES, 'UTF-8') . '' + . '' . (int) $s['relevance_score'] . '/100' + . '' . htmlspecialchars($cls, ENT_QUOTES, 'UTF-8') . '' + . ''; + } + } + + $total = count($systems); + + return << + +Elenco Sistemi Rilevanti NIS2 - {$orgName} + +
⚠ DOCUMENTO RISERVATO - DISTRIBUZIONE LIMITATA ⚠
+

{$orgName}

+

Elenco Formale dei Sistemi Rilevanti NIS2

+
Documento ai sensi della Direttiva (UE) 2022/2555 e del D.Lgs. 138/2024 — Requisito GV.OC-04 (NIST CSF 2.0)
+Settore: {$sector}  |  Tipo soggetto: {$entity}  |  Data emissione: {$date}  |  Generato da {$appName} v{$appVer}
+ +

1. Premessa e metodologia

+

Il presente documento costituisce l'elenco formale dei sistemi informativi e di rete classificati come rilevanti ai fini della conformita alla Direttiva NIS2. La classificazione adotta una metodologia di scoring 0-100 su sei criteri (Criticita Operativa, Impatto Interruzione, Dati Trattati, Dipendenze, Esposizione, Obblighi Normativi). Soglia di rilevanza: punteggio ≥ 40. I sistemi con punteggio ≥ 80 sono considerati critici e richiedono misure di sicurezza massime e monitoraggio continuo.

+ +
+
{$total}
Sistemi rilevanti
+
{$counts['critico']}
Critici (≥80)
+
{$counts['alto']}
Alti (60-79)
+
{$counts['medio']}
Medi (40-59)
+
+ +

2. Elenco sistemi rilevanti

+ + + {$rowsHtml} +
#SistemaTipo/CategoriaIPResponsabilePunteggioClasse
+ +
+ Fonti normative certe:
+ • Direttiva (UE) 2022/2555 (NIS2) — Parlamento europeo e Consiglio UE
+ • D.Lgs. 4 settembre 2024, n. 138 — recepimento NIS2 (artt. 23, 24)
+ • NIST Cybersecurity Framework 2.0 — controllo GV.OC-04 (elenco sistemi rilevanti) +
+ +
+
Redatto da (CISO / Responsabile Compliance)
+
Approvato da (Organo di gestione / Direzione)
+
+ +

+ +HTML; + } + public function generateExecutiveReport(int $orgId): string { $data = $this->generateComplianceReport($orgId); diff --git a/application/services/VectorService.php b/application/services/VectorService.php index dbd093e..010a4e3 100644 --- a/application/services/VectorService.php +++ b/application/services/VectorService.php @@ -19,7 +19,7 @@ class VectorService $url = getenv('QDRANT_URL') ?: ($_SERVER['QDRANT_URL'] ?? null) ?: ($_ENV['QDRANT_URL'] ?? null) - ?: 'http://172.21.0.5:6333'; // IP nis2-qdrant nella docker_nis2-network + ?: 'http://172.21.0.3:6333'; // IP nis2-qdrant (agg. 2026-05-29: era .5, container con IP dinamico driftato). TODO: assegnare ipv4_address statico in docker-compose per evitare ricorrenze. $this->qdrantUrl = rtrim($url, '/'); $this->collection = $collection; } diff --git a/docs/EVIX_ANALISI_CONCORRENZA.html b/docs/EVIX_ANALISI_CONCORRENZA.html new file mode 100644 index 0000000..b2c9d53 --- /dev/null +++ b/docs/EVIX_ANALISI_CONCORRENZA.html @@ -0,0 +1,263 @@ + + + + + +Evix Suite — Analisi Concorrenza & Best-of-Breed (Strategico/Interno) + + + +
+ +
+ Documento strategico interno · gap-driven +

Evix Suite — Analisi Concorrenza & posizionamento Best-of-Breed

+

Obiettivo strategico: ogni modulo della suite Evix (i prodotti Agile) deve essere best-of-breed nel proprio dominio. Questo documento valuta onestamente dove lo siamo già e dove mancano feature per diventarlo, rispetto a piattaforme GRC internazionali e soluzioni NIS2/compliance italiane.

+
+ +
+ Nota metodologica (fonti certe). Le capacità di Evix/NIS2 Agile riportate sono verificate sul codice sorgente del prodotto (feature realmente implementate al 2026-05-29, v1.7.0). Le capacità dei concorrenti riflettono posizionamenti generali di pubblico dominio e vanno verificate prima di qualsiasi uso commerciale: le celle marcate [da verificare] richiedono una fonte primaria (sito vendor, demo, analyst report). Questo è un documento interno, non un materiale di marketing. +
+ +

1. La suite Evix come insieme di moduli + Evix = brand-ombrello; ciascun prodotto Agile è un "modulo" della suite, integrabile via API condivise (agile-services) e SSO centralizzato. +

+
+
+

NIS2 Agile

+ Maturo +
  • Compliance Direttiva (UE) 2022/2555 + D.Lgs. 138/2024
  • Oggetto principale di questa analisi
+
+
+

231 Agile

+ In suite +
  • Modello Organizzativo 231
  • Integrato con NIS2 via Services API (mapping NIS2→MOG)
+
+
+

SustainAI Agile

+ In suite +
  • Sostenibilità / ESG / CSRD
  • Stesso stack UI/RAG
+
+
+

TRPG Agile

+ In suite +
  • Risk & privacy / governance
  • Allineamento Auth/SSO/Sessions in corso
+
+
+

Il vantaggio competitivo di suite (non del singolo modulo) è l'integrazione cross-prodotto + motore AI/RAG condiviso + multi-tenancy e white-label per studi di consulenza. Sotto, il dettaglio modulo-per-modulo del prodotto NIS2 (il più maturo); gli altri prodotti richiedono un audit analogo dedicato.

+ +

2. Scorecard Best-of-Breed — moduli di NIS2 Agile + Verde = già best-of-breed nel segmento NIS2 Italia · Giallo = competitivo, gap colmabili · Rosso = gap rilevante vs leader di categoria +

+
+ +

Gap Analysis Art.21

Best-of-breed (IT) +
  • 80 domande su 10 categorie Art.21, scoring + analisi AI
  • Mapping ISO 27001 + ora NIST CSF 2.0 (43 controlli)
+
  • Gap: benchmark settoriale anonimizzato assente
+
+ +

Asset & Sistemi Rilevanti

Best-of-breed (IT) +
  • Scoring rilevanza 0-100 a 6 criteri (GV.OC-04)
  • Registro formale stampabile + classi critico/alto/medio
+
  • Gap: auto-discovery asset e integrazione CMDB/cloud assenti
+
+ +

Gestione Incidenti

Best-of-breed (IT) +
  • Art.23 24h/72h/30g + tassonomia IS-1..4 (Determina ACN 164179/2025)
  • PIR 5-Whys + metriche TTD/TTC/TTR; regime essenziale/importante
+
  • Gap: ingestion automatica da SIEM/SOC/EDR (oggi manuale)
+
+ +

Risk Management

Competitivo +
  • Registro rischi, matrice 5×5 ISO 27005, AI suggest
+
  • Gap vs leader: scenari quantitativi (FAIR), monte-carlo, KRI dashboard
+
+ +

Audit & Evidence

Differenziante +
  • Hash-chain SHA-256 immutabile (integrità forense) + export certificato
  • Mapping ISO27001 e NIST CSF 2.0
+
  • Gap: raccolta evidenze automatica (connettori) assente
+
+ +

Policy Management

Competitivo +
  • Generazione bozze AI + workflow approvazione
+
  • Gap: versioning/diff avanzato, attestation dipendenti
+
+ +

Supply Chain

Competitivo +
  • Valutazione fornitori + risk scoring + Art.21.2(d)
+
  • Gap: questionari self-assessment al fornitore, rating esterni
+
+ +

AI / Knowledge Base

Differenziante +
  • RAG multi-livello (SYSTEM/FIRM/ORG) su Qdrant + Voyage
  • Grounding su testi normativi ufficiali con citazioni (fonti certe)
+
  • Gap: nessun gap critico; estendere copertura KB normativa
+
+ +

Continuous Monitoring

Gap rilevante +
  • Assente: monitoraggio continuo dei controlli + evidence automation (core di Vanta/Drata)
  • Oggi: assessment puntuale + evidenze manuali
+
+ +

Integrazioni / Connettori

Gap rilevante +
  • Assente catalogo connettori (M365, Google, AWS/Azure, Jira, IdP, EDR)
  • Presente: Services API + Webhook HMAC (base solida per costruirli)
+
+ +
+ +

3. Matrice comparativa + NIS2 Agile (Evix) vs categorie concorrenti. Confronto sul caso d'uso "compliance NIS2 per PMI/Enterprise e studi di consulenza in Italia". +

+
+ Sì / forte + Parziale + No / debole + [dv] = dato concorrente da verificare +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CapacitàNIS2 Agile (Evix)GRC internazionali
(ServiceNow, OneTrust, Archer)		Compliance automation
(Vanta, Drata)		Soluzioni NIS2 IT
[da verificare]		Consulenza + Excel
NIS2 / D.Lgs.138 nativo + Determine ACN 2025Sì — aggiornato Determine 2025Parziale, framework generici [dv]Debole (focus SOC2/ISO) [dv]Variabile [dv]Dipende dal consulente
AI nativa (gap, policy, classificazione incidenti) con grounding su fonti certeSì — RAG citante testi ufficialiIn crescita [dv]In crescita [dv]Raro [dv]No
Audit trail immutabile (hash-chain)Sì — SHA-256 chain[dv]Parziale [dv]Raro [dv]No
Continuous control monitoring + evidence automationNo (gap)[dv]Sì — core [dv]No [dv]No
Catalogo connettori/integrazioni (cloud, IdP, EDR, ticketing)Parziale — API/webhook, no connettori pronti[dv]Sì — molti [dv]Raro [dv]No
Multi-tenant + white-label per studi di consulenzaSì — firm + branding + KB FIRMParziale/costoso [dv]Programmi partner [dv]Variabile [dv]No
Integrazione cross-compliance (NIS2 ↔ 231 ↔ ESG)Sì — suite Evix + Services APIModuli separati [dv]No [dv]No [dv]No
Costo / time-to-value per PMI italianaBasso — onboarding guidato + visuraAlto / enterprise [dv]Medio [dv]Variabile [dv]Alto in ore uomo
Reporting/dashboard enterprise & analyticsParziale — report esecutivo + CSVForte [dv]Forte [dv]Variabile [dv]No
+ +

4. Dove siamo già Best-of-Breed + Vantaggi difendibili, radicati su feature reali del prodotto. +

+
+

🇮🇹 Aderenza normativa italiana

  • Unico a coprire Determina ACN 164179/2025 (IS-1..4, Allegati 3/4) e 333017/2025 a livello di workflow, non solo testo.
+

🤖 AI con fonti certe

  • Risposte AI ancorate ai testi normativi ufficiali con citazione esplicita e divieto di riferimenti inventati.
+

🔗 Integrità audit

  • Hash-chain SHA-256 + export certificato: integrità forense delle evidenze.
+

🏢 Modello consulenza/white-label

  • Multi-tenant, KB a 3 livelli, branding per studio: pensato per i consulenti, non solo l'azienda finale.
+

🧩 Suite integrata

  • NIS2 ↔ 231 ↔ ESG via Services API condivise: i competitor sono single-domain.
+
+ +

5. Gap → Roadmap per chiudere il "best-of-breed" su ogni modulo + Priorità per impatto competitivo. Le voci P1 sono quelle che oggi ci fanno perdere confronti vs Vanta/Drata e GRC enterprise. +

+
+
P1 · Colmare il gap "compliance automation"
+ Continuous Control Monitoring + Evidence Automation. Connettori per raccolta automatica evidenze (M365, Google Workspace, AWS/Azure, IdP, EDR). È il core di Vanta/Drata e oggi è il nostro gap più visibile. Base esistente: Services API + Webhook HMAC.
+
P1 · Ingestion incidenti
+ Integrazione SIEM/SOC/EDR per apertura automatica incidenti (i mockup analizzati già prevedevano "Alert SIEM/SOC" come fonte). Trasforma il modulo incidenti da reattivo a proattivo.
+
P2 · Asset
+ Auto-discovery asset + import CMDB/cloud per alimentare automaticamente lo scoring di rilevanza GV.OC-04 appena introdotto.
+
P2 · Risk quantitativo
+ Risk analysis quantitativa (FAIR) + dashboard KRI, per competere con i GRC enterprise sul risk management.
+
P2 · Reporting
+ Dashboard analytics e benchmark settoriale anonimizzato (già nei TODO di progetto) — chiude il gap su reporting e aggiunge un dato che i competitor non hanno (rete multi-tenant).
+
P3 · Supply chain & policy
+ Portale self-assessment fornitori e attestation/versioning policy per completare i due moduli "competitivi" verso il best-of-breed.
+
+ +
+ Fonti & verificabilità. Capacità Evix/NIS2 Agile: codice sorgente del prodotto (v1.7.0, 2026-05-29) e documentazione di progetto. Riferimenti normativi: Direttiva (UE) 2022/2555, D.Lgs. 138/2024, Determine ACN 164179/2025 e 333017/2025 (registro application/config/nis2_sources.php). Dati concorrenti marcati [da verificare]: posizionamenti generali di pubblico dominio, da confermare con fonte primaria prima di ogni uso esterno. I nomi dei vendor sono citati a scopo di benchmarking interno. +
+ +
+ Evix Suite — Analisi Concorrenza (strategico/interno) · generato 2026-05-29 (CEST) · NIS2 Agile v1.7.0 · + Documento di lavoro: non distribuire esternamente senza validazione dei dati concorrenti. +
+ +
+ + diff --git a/docs/nis2/AmbitiNIS2_ITA.pdf b/docs/nis2/AmbitiNIS2_ITA.pdf new file mode 100644 index 0000000..cea158b Binary files /dev/null and b/docs/nis2/AmbitiNIS2_ITA.pdf differ diff --git a/docs/nis2/AmbitiNIS2_ITA.pdf.txt b/docs/nis2/AmbitiNIS2_ITA.pdf.txt new file mode 100644 index 0000000..95f83d4 --- /dev/null +++ b/docs/nis2/AmbitiNIS2_ITA.pdf.txt @@ -0,0 +1,233 @@ +Agenda di Ricerca e Innovazione +per la Cybersicurezza + +Settore + +Sottosettore o tipologia di soggetto +Sottosettore o tipologia di Allegato +soggetto I: Settori ad alta criticità + +Grandi imprese + +(occupano almeno 250 dipendenti oppure hanno un fatturato +di almeno 50M€ oppure hanno un bilancio di almeno 43M€) + +Medie imprese + +(occupano almeno 50 dipendenti oppure hanno un fatturato +di almeno 10M€ oppure hanno un bilancio di almeno 10M€) + +Piccole e micro imprese + +Autorità di Settore + +1. Energia elettrica +2. Teleriscaldamento e teleraffrescamento +1. Energia + +3. Petrolio +4. Gas +5. Idrogeno +1. Trasporto aereo + +2. Trasporti + +2. Trasporto ferroviario +3. Trasporto per vie d'acqua +4. Trasporto su strada + +3. Settore bancario + +1. Enti creditizi quali definiti all'articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio +(DORA lex specialis) +1. Gestori delle sedi di negoziazione quali definiti all'articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio + +4. Infrastrutture dei mercati finanziari + +2. Controparti centrali (CCP) quali definite all'articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio +(DORA lex specialis) + +Essenziali + +Importanti1 + +Non in ambito2 + +Essenziali + +Importanti1 + +Non in ambito2 + +1. Prestatori di assistenza sanitaria quali definiti all'articolo 3, lettera g), della direttiva 2011/24/UE del Parlamento europeo e del Consiglio +2. Laboratori di riferimento dell'UE quali definiti all'articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio +5. Settore sanitario + +3. Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all'articolo 1, punto 2), della direttiva 2001/83/CE +del Parlamento europeo e del Consiglio +4. Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della NACE Rev. 2 +5. Soggetti che fabbricano dispositivi medici considerati critici durante un'emergenza di sanità pubblica (elenco dei dispositivi critici per +l'emergenza di sanità pubblica) di cui all'articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio + +6. Acqua potabile + +1. Fornitori e distributori di acque destinate al consumo umano, quali definiti all'articolo 2, punto 1, lettera a), della direttiva (UE) 2020/2184 +del Parlamento europeo e del Consiglio, ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte +non essenziale dell'attività generale di distribuzione di altri prodotti e beni + +7. Acque reflue + +1. Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali quali definite all'articolo 2, punti da 1), 2) e 3), +della direttiva 91/271/CEE del Consiglio, escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, +domestiche o industriali è una parte non essenziale della loro attività generale +1. Fornitori di punti di interscambio Internet (Internet exchange point – IXP) +2. Fornitori di servizi di sistema dei nomi di dominio (domain name system – DNS), esclusi gli operatori dei server dei nomi radice + +Essenziali + +3. Gestori di registri dei nomi di dominio di primo livello (top level domain – TLD) +4. Fornitori di servizi di cloud computing +8. Infrastrutture digitali + +Essenziali + +5. Fornitori di servizi di data center + +Importanti1 + +Non in ambito2 + +6. Fornitori di reti di distribuzione dei contenuti (content delivery network – CDN) + +Essenziali + +7. Prestatori di servizi fiduciari qualificati e non qualificati +8. Fornitori di reti pubbliche di comunicazione elettronica + +10. Spazio + +Importanti1 + +Essenziali + +9. Fornitori di servizi di comunicazione elettronica accessibili al pubblico +9. Gestione dei servizi TIC +(business-to-business) + +Essenziali i servizi fiduciari qualificati/Importanti1 quelli non qualificati + +1. Fornitori di servizi gestiti +2. Fornitori di servizi di sicurezza gestiti +1. Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi +spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica + +Essenziali + +Importanti1 + +Non in ambito2 + +Essenziali + +Importanti1 + +Non in ambito2 + +Allegato II: altri settori critici +1. Servizi postali e di corriere + +1. Fornitori di servizi postali quali definiti all'articolo 2, punto 1 bis), della direttiva 97/67/CE, tra cui i fornitori di servizi di corriere + +2. Gestione dei rifiuti + +1. Imprese che si occupano della gestione dei rifiuti quali definite all'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo +e del Consiglio, escluse quelle per cui la gestione dei rifiuti non è la principale attività economica + +3. Fabbricazione, produzione e distribuzione +di sostanze chimiche + +1. Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele di cui all'articolo 3, punti 9) e 14), +del regolamento (CE) n. 1907/2006 del Parlamento europeo e del Consiglio e imprese che si occupano della produzione di articoli quali definite +all'articolo 3, punto 3), del medesimo regolamento, da sostanze o miscele + +4. Produzione, trasformazione e distribuzione +di alimenti + +1. Imprese alimentari quali definite all'articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio che +si occupano della distribuzione all'ingrosso e della produzione industriale e trasformazione +1. Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro + +Importanti1 + +Non in ambito2 + +2. Fabbricazione di computer e prodotti di elettronica e ottica +5. Fabbricazione + +3. Fabbricazione di apparecchiature elettriche +4. Fabbricazione di macchinari e apparecchiature n.c.a. +5. Fabbricazione di autoveicoli, rimorchi e semirimorchi +6. Fabbricazione di altri mezzi di trasporto +1. Fornitori di mercati online + +6. Fornitori di servizi digitali + +2. Fornitori di motori di ricerca online +3. Fornitori di piattaforme di social network + +Importanti1 + +4. Fornitori di servizi di registrazione dei nomi di dominio +7. Ricerca + +Importanti1 + +1. Organizzazioni di ricerca + +Non in ambito2 + +Allegato III: Amministrazioni centrali, regionali, locali e di altro tipo +Amministrazioni centrali: +1. Gli Organi costituzionali e di rilievo costituzionale +2. La Presidenza del Consiglio dei ministri e i Ministeri +3. Le Agenzie fiscali +4. Le Autorità amministrative indipendenti + +Essenziali + +Amministrazioni regionali: +1. Le Regioni e le Province autonome + +Pubbliche Amministrazioni + +Amministrazioni locali: +1. Le Città metropolitane +2. I Comuni con popolazione superiore a 100.000 abitanti +3. I Comuni capoluoghi di regione +4. Le Aziende sanitarie locali + +Importanti1 + +Altri soggetti pubblici: +1. Gli Enti di regolazione dell'attività economica +2. Gli Enti produttori di servizi economici +3. Gli Enti a struttura associativa +4. Gli Enti produttori di servizi assistenziali, ricreativi e culturali +5. Gli Enti e le Istituzioni di ricerca +6. Gli Istituti zooprofilattici sperimentali + +Allegato IV: Ulteriori tipologie di soggetti +1. Soggetti che forniscono servizi di trasporto pubblico locale +2. Istituti di istruzione che svolgono attività di ricerca + +Soggetti a eventuale individuazione dell’Autorità + +Ulteriori tipologie di soggetti +3. Soggetti che svolgono attività di interesse culturale +4. Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n.175 + +Possibile individuazione dell’Autorità come essenziali +2 +Possibile individuazione dell’Autorità come importanti o essenziali +1 + diff --git a/docs/nis2/Determina164179_apr2025.pdf b/docs/nis2/Determina164179_apr2025.pdf new file mode 100644 index 0000000..1420a9b Binary files /dev/null and b/docs/nis2/Determina164179_apr2025.pdf differ diff --git a/docs/nis2/Determina164179_apr2025.pdf.txt b/docs/nis2/Determina164179_apr2025.pdf.txt new file mode 100644 index 0000000..1256870 --- /dev/null +++ b/docs/nis2/Determina164179_apr2025.pdf.txt @@ -0,0 +1,241 @@ +Agenzia per la Cybersicurezza Nazionale +Determinazione del Direttore Generale dell’Agenzia per la +cybersicurezza nazionale +di cui all’articolo 31, commi 1 e 2, del decreto legislativo 4 settembre 2024, n. 138, adottata +secondo le modalità di cui all’articolo 40, comma 5, lettera l), che, ai sensi dell’articolo 42, +comma 1, lettera c), in fase di prima applicazione, stabilisce le modalità e le specifiche di base +per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto medesimo. +IL DIRETTORE GENERALE +VISTO il decreto-legge 14 giugno 2021, n. 82, come convertito con modificazioni nella legge 4 +agosto 2021, n. 109, recante “Disposizioni urgenti in materia di cybersicurezza, definizione +dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza +nazionale”; +VISTO il decreto legislativo 4 settembre 2024, n. 138, recante “il recepimento della direttiva (UE) +2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante +modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la +direttiva (UE) 2016/1148”, c.d. decreto NIS, ed in particolare l’articolo 31, commi 1 e 2, che +prevede che, ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29, l'Autorità nazionale competente NIS +stabilisce obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai +rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della +loro gravità, compreso il loro impatto sociale ed economico, nonché termini, modalità, specifiche +e tempi graduali di implementazione di tali obblighi; +VISTO l’articolo 40, comma 5, lettera l), del decreto NIS che prevede che tali obblighi sono stabiliti +con una o più Determinazioni dell’Agenzia per la cybersicurezza nazionale, sentito il Tavolo per +l’attuazione della disciplina NIS; +VISTO altresì l’articolo 42, comma 1, lettera c), del decreto NIS, che prevede, in fase di prima +applicazione, che l’Autorità nazionale competente NIS stabilisce le modalità e le specifiche di base +per l’adempimento ai predetti obblighi; +VISTO il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, recante la nomina +del Prefetto Bruno Frattasi a Direttore generale dell’Agenzia per la cybersicurezza nazionale; +VISTO il “Framework Nazionale per la Cybersecurity e la Data Protection”, edizione 2025 +(Framework nazionale), realizzato dal Centro di ricerca di cyber intelligence and information +security (CIS) della Sapienza Università di Roma e dal Cybersecurity national lab del Consorzio +interuniversitario nazionale per l'informatica (CINI), in collaborazione con l’Agenzia per la +cybersicurezza nazionale (ACN), quale strumento di supporto per le organizzazioni pubbliche e +private in materia di strategie e processi volti alla sicurezza informatica; +CONSIDERATO che gli allegati tecnici recanti le predette specifiche di base, illustrate nella +seconda riunione plenaria del Tavolo per l’attuazione della disciplina NIS, tenutasi il 28 gennaio +1 di 6 + +Agenzia per la Cybersicurezza Nazionale +2025, sono stati condivisi con le Autorità di settore e con le associazioni di categoria anche per +mezzo dei tavoli settoriali di cui all’articolo 11, comma 4, lettera f), del decreto NIS; +PRESSO ATTO dei riscontri pervenuti; +SENTITO il Tavolo per l’attuazione della disciplina NIS nella riunione del 10 aprile 2025; +RITENUTO di avviare la procedura di informazione ai sensi della Direttiva (UE) n. 2015/1535 del +Parlamento europeo e del Consiglio del 9 settembre 2015; +CONSIDERATO il grado di esposizione dei soggetti ai rischi, le dimensioni dei soggetti e la +probabilità che si verifichino incidenti, nonché la loro gravità, compreso il loro impatto sociale ed +economico; + +ADOTTA LA PRESENTE DETERMINAZIONE + +Articolo 1 +(Definizioni) +1. Ai fini della presente determinazione si intende per: +a) “decreto NIS”, il decreto legislativo 4 settembre 2024, n. 138; +b) “Agenzia per la cybersicurezza nazionale”, l’Agenzia per la cybersicurezza nazionale +di cui all’articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82; +c) “Autorità nazionale competente NIS”, l’Autorità nazionale competente di cui +all’articolo 10, comma 1, del decreto NIS; +d) “Autorità di settore NIS”, le Amministrazioni di cui all’articolo 11, commi 1 e 2, del +decreto NIS; +e) “soggetto NIS”, un soggetto, di cui all’articolo 2, comma 1, lettera hhh), del decreto +NIS, di natura giuridica pubblica o privata che rientra nell’ambito di applicazione del +decreto NIS; +f) “soggetti essenziali”, i soggetti NIS considerati essenziali ai sensi del decreto NIS; +g) “soggetti importanti”, i soggetti NIS considerati importanti ai sensi del decreto NIS; +h) “comunicazione di inserimento nell’elenco dei soggetti NIS”, la comunicazione di cui +all’articolo 7, comma 3, lettera a), del decreto NIS; +i) “organi di amministrazione e direttivi”, gli organi di amministrazione e direttivi di cui +all’articolo 23 del decreto NIS, ivi incluso, laddove presente, il consiglio di +amministrazione dei soggetti NIS; +j) “misure di sicurezza di base”, specifiche di base per gli obblighi di cui agli articoli 23 +e 24 del decreto NIS, sviluppate in accordo al Framework nazionale e organizzate in +funzioni, categorie, sottocategorie e requisiti; +k) “incidenti significativi di base”, le specifiche di base che descrivono gli incidenti +significativi di cui all’articolo 25 del decreto NIS; + +2 di 6 + +Agenzia per la Cybersicurezza Nazionale +l) “sistemi informativi e di rete rilevanti”, sistemi informativi e di rete la cui +compromissione comporterebbe un impatto significativo sulla confidenzialità, integrità +e disponibilità delle attività e servizi per i quali il soggetto NIS rientra nell’ambito di +applicazione del decreto NIS; +m) “fornitori di servizi di registrazione dei nomi di dominio”, i fornitori di cui all’articolo +2, comma 1, lettera oo), del decreto NIS; +n) “gestori di registri dei nomi di dominio di primo livello”, i gestori di cui all’articolo 2, +comma 1, lettera pp), del decreto NIS; +o) “soggetti PSNC-NIS”, i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge n. +105 del 2019 che sono soggetti NIS; +p) “sistemi informativi e di rete PSNC”, sistemi informativi e di rete che sono inseriti +nell'elenco di cui all'articolo 1, comma 2, lettera b), del decreto-legge n. 105 del 2019 +q) “operatori di servizi essenziali”, c.d. OSE, i soggetti NIS identificati prima della data di +entrata in vigore del decreto NIS come operatori di servizi essenziali ai sensi del decreto +legislativo 18 maggio 2018, n. 65; +r) “sistemi informativi e di rete OSE”, sistemi informativi e di rete dell’operatore di servizi +essenziali che abilitano i servizi essenziali per i quali l’operatore stesso è stato +identificato ai sensi del decreto legislativo 18 maggio 2018, n. 65; +s) “operatori telco”, i soggetti NIS che forniscono reti pubbliche di comunicazione +elettronica o servizi di comunicazioni elettroniche accessibili al pubblico ai sensi del +decreto legislativo 1° agosto 2003, n. 259, ad un numero di utenti pari o superiore, anche +alternativamente: +1) all’1% della base di utenti nazionale, calcolato sulla base dei dati pubblicati +dall’Osservatorio trimestrale delle comunicazioni a cura dell’Autorità per le +garanzie nelle comunicazioni; +2) a un milione; +t) “sistemi informativi e di rete telco”, sistemi informativi e di rete per l’accesso alla rete +fissa o mobile, da postazione o da terminale mobile, individuati come critici +dall’operatore telco in quanto potenzialmente in grado di servire, per ciascun servizio +indicato: +1) una percentuale dell’utenza pari o superiore all’1% della base di utenti nazionale +per quel servizio, sulla base dei dati pubblicati dall’Osservatorio trimestrale delle +comunicazioni a cura dell’Autorità per le garanzie nelle comunicazioni; +2) un’utenza pari o superiore a un milione. +Articolo 2 +(Adozione delle specifiche di base) +1. In fase di prima applicazione del decreto NIS sono adottate le specifiche di base di cui agli +allegati 1, 2, 3 e 4, facenti parte integrante della presente determinazione. +2. Le misure di sicurezza di base, a carico degli organi di amministrazione e direttivi e in +materia di misure di gestione dei rischi per la sicurezza informatica, sono stabiliti: +a) per i soggetti importanti, nell’allegato 1; +b) per i soggetti essenziali, nell’allegato 2. +3 di 6 + +Agenzia per la Cybersicurezza Nazionale +3. Gli incidenti significativi di base sono stabiliti: +a) per i soggetti importanti, nell’allegato 3; +b) per i soggetti essenziali, nell’allegato 4. +Articolo 3 +(Termini per l’adozione delle specifiche di base) +1. Il termine per l’adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato +in diciotto mesi dalla ricezione, da parte del soggetto NIS della comunicazione di +inserimento nell’elenco dei soggetti NIS. +2. Il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base +descritti negli allegati 3 e 4 è fissato in nove mesi dalla ricezione, da parte del soggetto NIS, +della comunicazione di inserimento nell’elenco dei soggetti NIS. +Articolo 4 +(Sicurezza, stabilità e resilienza dei sistemi di nomi di dominio) +1. Fermo restando quanto previsto dall’articolo 29 del decreto NIS, entro diciotto mesi dalla +ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, i gestori di +registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione dei nomi +di dominio si adeguano alle previsioni di cui al predetto articolo, commi 1 e 2, nonché +adottano e rendono pubbliche le politiche e le procedure di cui al comma 3 del medesimo +articolo. +2. Le modalità di adeguamento alle previsioni di cui all’articolo 29, commi 1 e 2, nonché le +politiche e le procedure di cui al comma 3 del medesimo articolo sono approvate dagli organi +di amministrazione e direttivi. +3. Ai sensi dell’articolo 32, comma 3, i gestori di registri dei nomi di dominio di primo livello +e i fornitori di servizi di registrazione dei nomi di dominio adottano politiche al fine di +assicurare un livello di sicurezza informatica coerente con le specifiche di cui all’allegato 1. +4. Le politiche di sicurezza informatica di cui al comma 3 sono approvate dagli organi di +amministrazione e direttivi. +Articolo 5 +(Obblighi di notifica per i soggetti PSNC-NIS) +1. Fermo restando quanto previsto dall’articolo 33 del decreto NIS, i soggetti PSNC-NIS +notificano gli incidenti significativi di base di cui all’allegato 4, ai sensi dell’articolo 25 del +decreto NIS, limitatamente ai sistemi informativi e di rete diversi da quelli PSNC. +2. Il termine per l’obbligo di cui al comma 1 decorre dalla data di entrata in vigore della +presente determinazione. + +4 di 6 + +Agenzia per la Cybersicurezza Nazionale +Articolo 6 +(Regime transitorio per gli operatori di servizi essenziali) +1. Fermo restando quanto previsto dall’articolo 2, comma 2, e dall’articolo 3, comma 1, gli +operatori di servizi essenziali, limitatamente ai sistemi informativi e di rete OSE, per quanto +non in contrasto con la legge e il decreto NIS, assicurano il mantenimento delle misure +tecniche e organizzative già adottate prima dell’entrata in vigore del decreto NIS ai sensi del +decreto legislativo 18 maggio 2018, n. 65. +2. Al fine di assicurare la continuità dell’obbligo di notifica di incidente di cui all’articolo 12, +comma 5, del decreto legislativo 18 maggio 2018, n. 65, dall’entrata in vigore della presente +determinazione, ai sensi dell’articolo 25 del decreto NIS, gli operatori di servizi essenziali, +limitatamente ai sistemi informativi e di rete OSE, notificano gli incidenti significativi di +base di cui: +a) all’allegato 3, qualora siano soggetti importanti; +b) all’allegato 4, qualora siano soggetti essenziali. +3. Il termine per gli adempimenti di cui al presente articolo decorre dalla data di entrata in +vigore della presente determinazione. +Articolo 7 +(Regime transitorio per gli operatori telco) +1. Fermo restando quanto previsto dall’articolo 2, comma 2, e dall’articolo 3, comma 1, gli +operatori telco, limitatamente ai sistemi informativi e di rete telco, per quanto non in +contrasto con la legge e il decreto NIS, assicurano il mantenimento delle misure di sicurezza +e di integrità delle reti e dei servizi già adottate prima dell’entrata in vigore del decreto NIS +ai sensi del decreto del Ministro dello sviluppo economico del 12 dicembre 2018. +2. Al fine di assicurare la continuità dell’obbligo di notifica di incidente di cui all’articolo 40, +comma 3, lettera b), del decreto legislativo 1° agosto 2003, n. 259, ai sensi dell’articolo 25 +del decreto NIS, dall’entrata in vigore della presente determinazione, gli operatori telco, +limitatamente ai sistemi informativi e di rete telco, notificano gli incidenti significativi di +base: +a) di cui all’allegato 3, qualora siano soggetti importanti; +b) di cui all’allegato 4, qualora siano soggetti essenziali. +3. Ai fini del comma 2, nella definizione del livello di servizio atteso di cui agli allegati 3 e 4, +gli operatori telco considerano come incidenti significativi di base i seguenti casi: +a) durata superiore ad un’ora e percentuale degli utenti colpiti superiore al quindici per +cento del totale degli utenti nazionali del servizio interessato; +b) durata superiore a due ore e percentuale degli utenti colpiti superiore al dieci per +cento del totale degli utenti nazionali del servizio interessato; +c) durata superiore a quattro ore e percentuale degli utenti colpiti superiore al cinque +per cento del totale degli utenti nazionali del servizio interessato; +5 di 6 + +Agenzia per la Cybersicurezza Nazionale +d) durata superiore a sei ore e percentuale degli utenti colpiti superiore al due per cento +del totale degli utenti nazionali del servizio interessato; +e) durata superiore ad otto ore e percentuale degli utenti colpiti superiore all’uno per +cento del totale degli utenti nazionali del servizio interessato. +4. + +Il termine per gli adempimenti di cui al presente articolo decorre dalla data di entrata in +vigore della presente determinazione. +Articolo 8 +(Disposizioni finanziarie) + +1. Dalla presente determinazione non derivano nuovi o maggiori oneri a carico della finanza +pubblica, anche ai sensi dell’articolo 12, comma 6, del decreto NIS. +Articolo 9 +(Pubblicità) +1. La presente determinazione è pubblicata sui siti web istituzionali dell’Agenzia per la +cybersicurezza nazionale e delle Autorità di settore NIS. Ne sarà data, altresì, +comunicazione tramite pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. +Articolo 10 +(Entrata in vigore e disposizioni transitorie) +1. Per quanto non previsto dalla presente determinazione, si applicano le disposizioni del +decreto NIS. +2. La presente determinazione entra in vigore a decorrere dal 30 aprile 2025. +3. L’articolo 2, commi 2 e 3, e l’articolo 3 entrano in vigore il giorno successivo +all’esperimento della procedura di informazione ai sensi della Direttiva (UE) n. 2015/1535 +del Parlamento europeo e del Consiglio del 9 settembre 2015. +Roma, data del protocollo +IL DIRETTORE GENERALE +Bruno Frattasi + +Firmato digitalmente da: Bruno +Frattasi +Data: 14/04/2025 10:52:39 + +6 di 6 + diff --git a/docs/nis2/Determina333017_sett2025.pdf b/docs/nis2/Determina333017_sett2025.pdf new file mode 100644 index 0000000..bfd6732 Binary files /dev/null and b/docs/nis2/Determina333017_sett2025.pdf differ diff --git a/docs/nis2/Determina333017_sett2025.pdf.txt b/docs/nis2/Determina333017_sett2025.pdf.txt new file mode 100644 index 0000000..667029b --- /dev/null +++ b/docs/nis2/Determina333017_sett2025.pdf.txt @@ -0,0 +1,678 @@ +Agenzia per la Cybersicurezza Nazionale +Determinazione del Direttore generale dell’Agenzia per la +cybersicurezza nazionale +di cui all’articolo 7, comma 6, del decreto legislativo 4 settembre 2024, n. 138, adottata +secondo le modalità di cui all’articolo 40, comma 5, recante termini, modalità e procedimenti +di utilizzo e accesso alla piattaforma digitale nonché ulteriori informazioni che i soggetti +devono fornire all’Autorità nazionale competente NIS e termini, modalità e procedimento di +designazione dei rappresentanti NIS sul territorio nazionale. +IL DIRETTORE GENERALE +VISTO il decreto legislativo 12 gennaio 2019, n. 14, recante “Codice della crisi d'impresa e +dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”; +VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto +2021, n. 109, recante “Disposizioni urgenti in materia di cybersicurezza, definizione +dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza +nazionale”; +VISTO il decreto legislativo 4 settembre 2024, n. 138, recante “Recepimento della direttiva (UE) +2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante +modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la +direttiva (UE) 2016/1148” e, in particolare, l’articolo 7 e l’articolo 40, comma 5, lettera b); +VISTO il Regolamento (CEE) n. 2137/85 del Consiglio del 25 luglio 1985 relativo all'istituzione di +un gruppo europeo di interesse economico (GEIE); +VISTO il decreto legislativo 23 luglio 1991, n. 240, recante “Norme per l’applicazione del +regolamento n. 85/2137/CEE relativo all’istituzione di un Gruppo europeo di interesse economico GEIE, ai sensi dell’art. 17 della legge 29 dicembre 1990, n. 428”; +VISTA la raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla +definizione delle microimprese, piccole e medie imprese; +VISTA la legge 28 giugno 2024, n. 90, recante “Disposizioni in materia di rafforzamento della +cybersicurezza nazionale e di reati informatici”; +VISTO il decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, recante “Testo unico +delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”, e, in +particolare, l’articolo 76; +CONSIDERATO che, ai sensi del richiamato articolo 7, comma 1, del decreto legislativo 4 +settembre 2024, n. 138, i soggetti di cui all'articolo 3 del medesimo decreto si registrano o + +1 di 16 + +Agenzia per la Cybersicurezza Nazionale +aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall'Autorità +nazionale competente NIS; +CONSIDERATO, altresì, che, ai sensi dell’articolo 7, comma 6, e dell’articolo 40, comma 5, +lettera b), del decreto legislativo 4 settembre 2024, n. 138, con determinazione dell’Agenzia per la +cybersicurezza nazionale, sentito il Tavolo per l’attuazione della disciplina NIS, sono stabiliti i +termini, le modalità nonché i procedimenti di utilizzo e accesso alla piattaforma digitale di cui +all’articolo 7 e le eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dello stesso +articolo, nonché i termini, le modalità e i procedimenti di designazione dei rappresentanti di cui +all’articolo 5, comma 3, del medesimo decreto legislativo; +RICHIAMATA la propria determinazione n. 333017 del 22 settembre 2025 che ha aggiornato la +precedente determinazione n.38565 del 26 novembre 2024 integrandovi le modalità di designazione +del referente CSIRT e di aggiornamento annuale delle informazioni, tramite il servizio dedicato +NIS/Aggiornamento annuale disponibile sul Portale ACN; +RITENUTO di aggiornare e sostituire la predetta determinazione in vista della registrazione 2026 +dei soggetti NIS sul portale ACN tramite il servizio dedicato NIS/Dichiarazione; +SENTITO il Tavolo per l’attuazione della disciplina NIS di cui all’articolo 12 del decreto +legislativo 4 settembre 2024, n. 138, nella riunione del 18 dicembre 2025; +ADOTTA LA PRESENTE DETERMINAZIONE +Capo I +Disposizioni di carattere generale +Articolo 1 +(Definizioni) +1. Ai fini della presente determinazione si intende per: +a) “decreto NIS”, il decreto legislativo 4 settembre 2024, n. 138; +b) “Agenzia per la cybersicurezza nazionale”, l’Agenzia per la cybersicurezza nazionale +di cui all’articolo 5, comma 1, del decreto-legge 14 giugno 2021, n. 82; +c) “Autorità nazionale competente NIS”, l’Autorità nazionale competente di cui +all’articolo 10, comma 1, del decreto NIS; +d) “Autorità di settore NIS”, le Amministrazioni di cui all’articolo 11, commi 1 e 2, del +decreto NIS; +e) “organi di amministrazione e direttivi”, gli organi di amministrazione e direttivi di cui +all’articolo 23 del decreto NIS, ivi incluso, laddove presente, il consiglio di +amministrazione dei soggetti NIS; +f) “Portale ACN”, il Portale dei servizi tramite il quale sono accessibili i servizi che +l’Agenzia per la cybersicurezza nazionale mette a disposizione dei suoi interlocutori e +dei soggetti, pubblici e privati, che rientrano nell’ambito di applicazione della disciplina +cyber o con i quali l’Agenzia deve interagire ai sensi della stessa; +2 di 16 + +Agenzia per la Cybersicurezza Nazionale +g) “SPID”, il Sistema pubblico dell’identità digitale, istituito ai sensi dell'art. 64 del CAD, +modificato dall’art. 17-ter del decreto-legge 21 giugno 2013, n. 69, convertito con +modificazioni, dalla legge 9 agosto 2013, n. 98, ai sensi del Decreto del Presidente del +Consiglio dei Ministri 24 ottobre 2014; +h) “CIE”, Carta di Identità Elettronica, è il documento d’identità personale garantita dallo +Stato e rilasciata dal Ministero dell’Interno che permette l’accertamento dell’identità del +possessore e l’accesso ai servizi online delle Pubbliche Amministrazioni; +i) “Servizi NIS”, i servizi, accessibili tramite il Portale ACN, necessari per supportare +l’espletamento degli adempimenti previsti dal decreto NIS e le interlocuzioni tra +l’Autorità nazionale compente NIS e i soggetti; +j) “Servizio NIS/Dichiarazione”, il Servizio NIS reso disponibile dall’Autorità nazionale +competente NIS ai soggetti ai fini della registrazione di cui all’articolo 7, comma 1, del +decreto NIS; +k) “Servizio NIS/Aggiornamento annuale informazioni”, il Servizio NIS reso disponibile +dall’Autorità nazionale competente NIS ai soggetti NIS per l’aggiornamento annuale, +delle informazioni di cui all’articolo 7, commi 4 e 5, del decreto NIS; +l) “Servizio NIS/Aggiornamento continuo informazioni”, il Servizio NIS reso disponibile +dall’Autorità nazionale competente NIS ai soggetti NIS per l’aggiornamento continuo, +delle informazioni trasmesse ai sensi dell’articolo 7, comma 7, del decreto NIS; +m) “sito web”, il sito web istituzionale dell’Agenzia per la cybersicurezza nazionale +(acn.gov.it); +n) “piattaforma digitale”, la piattaforma digitale di cui all’articolo 7, comma 1, del decreto +NIS, accessibile tramite il Portale ACN per l’erogazione dei Servizi NIS; +o) “soggetto”, un soggetto, di cui all’articolo 2, comma 1, lettera hhh), del decreto NIS, di +natura giuridica pubblica o privata per conto della quale un utente accede al Portale +ACN e, in particolare, ai Servizi NIS; +p) “soggetto NIS”, un soggetto che rientra nell’ambito di applicazione del decreto NIS; +q) “punto di contatto”, la persona fisica designata dal soggetto NIS ai sensi dell’articolo 7, +comma 1, lettera c), del decreto NIS; +r) “sostituto punto di contatto”, la persona fisica designata dal soggetto NIS ai sensi +dell’articolo 7, comma 4, lettera d), del decreto NIS; +s) “segreteria”, la persona fisica che svolge funzioni di supporto al punto di contatto e al +sostituto punto di contatto per promuovere l’efficace interlocuzione con l’Autorità +nazionale competente NIS; +t) “operatore”, la persona fisica che svolge funzioni di supporto al punto di contatto e al +sostituto punto di contatto operando sui servizi NIS; +u) “utente”, i componenti degli organi di amministrazione e direttivi, il punto di contatto, +il sostituto punto di contatto, la segreteria, il referente CSIRT, il sostituto referente +CSIRT e gli operatori che accedono al Portale ACN e, in particolare, accedono ai servizi +di competenza; +v) “referente CSIRT e sostituti”, le persone fisiche designate dal Punto di contatto per +interloquire con lo CSIRT Italia, di cui all’articolo 2, comma 1, lettera i) del decreto +NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del medesimo decreto; +w) “rappresentante NIS”, il rappresentante di cui all’articolo 5, comma 3, del decreto NIS; +3 di 16 + +Agenzia per la Cybersicurezza Nazionale +x) “censimento”, il processo di autenticazione, tracciamento e verifica di un utente +finalizzato alla sua associazione a un soggetto per accedere al Portale ACN e, in +particolare, ai Servizi NIS; +y) “associazione”, il processo di tracciamento, verifica e convalida dell’associazione +dell’utenza con un soggetto che consente all’utente stesso di accedere al Portale ACN +e, in particolare, ai Servizi NIS; +z) “registrazione”, il processo di cui all’articolo 7, comma 1, del decreto NIS; +aa) “dichiarazione”, la dichiarazione resa dal punto di contatto ai fini della registrazione; +bb) “elenco dei soggetti NIS”, l’elenco dei soggetti essenziali e dei soggetti importanti di +cui all’articolo 7, comma 3, del decreto NIS; +cc) “impresa collegata”, un soggetto che soddisfa i criteri di cui all’articolo 3, paragrafi 2 e +3, dell’allegato alla raccomandazione 2003/361/CE, o che fa parte di un gruppo di +imprese; +dd) “impresa autonoma”, una impresa non identificabile come impresa collegata; +ee) “gruppo di imprese”, ai sensi dell’articolo 2, comma 1, lettera h), del decreto legislativo +12 gennaio 2019, n. 14, l'insieme delle società, delle imprese e degli enti, esclusi lo +Stato e gli enti territoriali, che esercitano o sono sottoposti, ai sensi degli articoli +2497 e 2545-septies del codice civile, alla direzione e coordinamento di una società, di +un ente o di una persona fisica; a tal fine si presume, salvo prova contraria, che l'attività +di direzione e coordinamento delle società del gruppo sia esercitata dalla società o ente +tenuto al consolidamento dei loro bilanci oppure dalla società o ente che le controlla, +direttamente o indirettamente, anche nei casi di controllo congiunto; +ff) “gruppo europeo di interesse economico (GEIE)”, un gruppo di imprese costituito sulla +base delle condizioni, modalità ed effetti disciplinati dal Regolamento (CEE) n. +2137/85. +gg) “aggiornamento annuale delle informazioni”, il processo tramite il quale i soggetti NIS +forniscono e, ogni anno, aggiornano le informazioni di cui all’articolo 7, commi 4 e 5, +del decreto NIS; +hh) “aggiornamento continuo delle informazioni”, il processo tramite il quale, ai sensi +dell’articolo 7, comma 7, del decreto NIS, i soggetti NIS comunicano qualsiasi modifica +delle informazioni trasmesse ai sensi dei commi 4 e 5 del medesimo articolo +tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica; +ii) “spazio di indirizzamento IP pubblico in uso o nella disponibilità del soggetto NIS”, gli +indirizzi IP pubblici e statici che un soggetto NIS utilizza o ha nella propria disponibilità +in forza di contratti o accordi con fornitori di servizi Internet (ISP), Registri Internet +Regionali o altre organizzazioni deputate alla fornitura di indirizzi IP sulla base delle +normative e degli accordi nazionali, europei e internazionali vigenti; +jj) “nomi di dominio in uso o nella disponibilità del soggetto NIS”, i nomi di dominio che +un soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi +con fornitori di servizi di registrazione di nomi di dominio o altre organizzazioni +deputate loro fornitura di nomi di dominio sulla base delle normative e degli accordi +nazionali, europei e internazionali vigenti; +kk) “accordi di condivisione”, gli accordi di condivisione delle informazioni sulla sicurezza +informatica, di cui all’articolo 17, comma 2, del decreto NIS. +4 di 16 + +Agenzia per la Cybersicurezza Nazionale +Articolo 2 +(Oggetto, ambito di applicazione e finalità) +1. La presente determinazione stabilisce termini, modalità e procedimenti di utilizzo e accesso +al Portale ACN e, in particolare, ai Servizi NIS nonché le ulteriori informazioni che i +soggetti NIS devono fornire all’Autorità nazionale competente NIS ai fini dello svolgimento +delle funzioni attribuite dal decreto NIS, i termini, le modalità e i procedimenti di +designazione dei rappresentanti NIS nell’Unione. +2. Ai fini del comma 1, la presente determinazione definisce: +a) le modalità di designazione del punto di contatto e del sostituto punto di contatto: +b) il processo per il censimento degli utenti per accedere al Portale ACN; +c) il procedimento per l’associazione degli utenti al soggetto per conto del quale accedono +ai Servizi NIS; +d) il procedimento per la registrazione, tramite il “Servizio NIS/Dichiarazione”; +e) il processo per la conferma annuale delle informazioni, tramite il “Servizio +NIS/Aggiornamento annuale informazioni”; +f) il processo per l’aggiornamento continuo delle informazioni, tramite il “Servizio +NIS/Aggiornamento continuo informazioni”. +3. Ai sensi dell’articolo 23, comma 1, lettera b), del decreto NIS, gli organi di amministrazione +e direttivi dei soggetti NIS sovrintendono alla registrazione, comunicazione o +aggiornamento delle informazioni di cui all’articolo 7 del medesimo decreto e sono +responsabili delle eventuali violazioni. +4. La mancata registrazione, comunicazione o aggiornamento delle informazioni di cui +all’articolo 7 del decreto NIS, con le modalità sopra indicate, è punita ai sensi dell’articolo +38 del medesimo decreto. +Articolo 3 +(Termini di uso del Portale ACN e dei Servizi NIS) +1. I soggetti comunicano con l’Autorità nazionale competente NIS, anche ai fini del +censimento, dell’associazione e della registrazione, esclusivamente tramite i Servizi NIS o +tramite la sezione dedicata nell’area NIS del sito web, salvo in caso di diversa espressa +specifica indicazione dell’Autorità nazionale competente o per cause di forza maggiore, +fermo restando quanto previsto dal decreto NIS. +2. Le istruttorie dell’Autorità nazionale competente NIS e delle Autorità di settore NIS ai fini +della presente determinazione sono svolte prioritariamente sulla base delle informazioni +trasmesse dai soggetti tramite i Servizi NIS. +3. Gli utenti aggiornano le informazioni trasmesse tramite il Portale ACN o tramite i Servizi +NIS tempestivamente, secondo eventuale specifica indicazione dell’Autorità nazionale +competente NIS, nel rispetto dei termini indicati dal decreto NIS. +4. Gli utenti sono tenuti a verificare la correttezza delle informazioni visualizzate o ricevute +tramite il Portale ACN e i Servizi NIS, e in caso di incongruenze effettuano la segnalazione +di cui al comma 6. + +5 di 16 + +Agenzia per la Cybersicurezza Nazionale +5. Resta ferma la responsabilità penale, ai sensi dell’articolo 76 del decreto del Presidente della +Repubblica del 28 dicembre 2000, n. 445, in caso di rilascio di dichiarazioni mendaci, +formazione di atti falsi o, comunque, contenenti dati non più rispondenti a verità. +6. Gli utenti segnalano, tramite gli appositi canali di comunicazione del Portale ACN o tramite +la sezione dedicata nell’area NIS del sito web, malfunzionamenti o comportamenti inattesi +del Portale ACN stesso e dei Servizi NIS. +7. Le informazioni visualizzate o ricevute tramite il Portale ACN e i Servizi NIS sono +condivise nel rispetto della politica di condivisione delle informazioni. Salvo diversa +specifica indicazione, le informazioni visualizzate o ricevute tramite il Portale ACN e i +Servizi NIS sono a divulgazione limitata e sono ristrette all’originatore e ai destinatari +dell’informazione, nonché alle loro organizzazioni, alle loro terze parti e ai propri clienti. I +destinatari non possono condividere le informazioni ricevute al di fuori della propria +organizzazione, delle loro terze parti e dei propri clienti. La condivisione delle informazioni +ricevute nella propria organizzazione con le terze parti e con i clienti è limitata ai dati +strettamente necessari per lo svolgimento delle attività (principio del need-to-know). +Articolo 4 +(Punto di contatto) +1. Il punto di contatto è una persona fisica designata dal soggetto NIS con il compito di curare +l'attuazione delle disposizioni del decreto NIS per conto del soggetto stesso. In particolare, +il punto di contatto accede al Portale ACN e ai Servizi NIS, effettua, per conto del soggetto, +la registrazione di cui all’articolo 7 del decreto NIS, e interloquisce, per conto del soggetto +NIS, con l’Autorità nazionale competente NIS. +2. Le funzioni di punto di contatto possono essere svolte dal rappresentante legale del soggetto +NIS, da uno dei procuratori generali del soggetto NIS, censiti sul registro delle imprese di +cui all’articolo 8 della legge 29 dicembre 1993, n. 580, o da un dipendente del soggetto NIS +delegato dal rappresentante legale del soggetto medesimo. Laddove il punto di contatto, +nell’espletamento delle proprie funzioni, si avvalga di personale esterno, restano comunque +ferme le disposizioni di cui al comma 1. +3. Qualora il soggetto sia parte di un gruppo di imprese, le funzioni di punto di contatto +possono essere svolte da un dipendente di un’altra impresa del gruppo che rientra +nell’ambito di applicazione del decreto NIS, delegato dal rappresentante legale del soggetto +stesso. +4. Qualora il soggetto NIS sia una pubblica amministrazione, le funzioni di punto di contatto +possono essere svolte da personale che presta servizio o dipendente di un’altra pubblica +amministrazione che rientra nell’ambito di applicazione del decreto NIS, previa +autorizzazione di quest'ultima ai sensi dell'articolo 53 del decreto legislativo 30 marzo 2001, +n. 165, delegato dal rappresentante legale del soggetto stesso. +5. Il punto di contatto riferisce direttamente al vertice gerarchico del soggetto NIS nonché agli +organi di amministrazione e direttivi del soggetto medesimo ai fini di quanto previsto dal +decreto NIS. + +6 di 16 + +Agenzia per la Cybersicurezza Nazionale +6. Resta ferma, in ogni caso, la responsabilità degli organi di amministrazione e direttivi del +soggetto NIS ai sensi dell’articolo 23 del decreto NIS e delle persone fisiche ai sensi +dell’articolo 38 del medesimo decreto. +7. Nel caso di avvicendamento del punto di contatto, gli organi di amministrazione e direttivi +provvedono senza ingiustificato ritardo alla designazione del nuovo punto di contatto e +assicurano il suo censimento sul Portale ACN. +8. La designazione del punto di contatto da parte dei soggetti di cui all’articolo 1, comma 1, +della legge 28 giugno 2024, n. 90, che rientrano nell’ambito di applicazione del decreto NIS, +può soddisfare l’obbligo di nomina e comunicazione del referente per la cybersicurezza di +cui all’articolo 8, comma 2, della medesima legge. +Articolo 5 +(Sostituto punto di contatto) +1. Il sostituto punto di contatto è una persona fisica, distinta dal punto di contatto, designato +con le medesime modalità di quest’ultimo ai sensi dell’articolo 4, a cui si applicano le +previsioni del citato articolo. +2. Il sostituto punto di contatto supporta il punto di contatto nell’esercizio delle proprie +funzioni, può interloquire direttamente con l’Autorità nazionale competente NIS e può +effettuare sulla piattaforma digitale le medesime azioni del punto di contatto, ad eccezione +della registrazione di cui all’articolo 7 del decreto NIS. +3. Il sostituto punto di contatto è designato entro il 31 maggio dell’anno in cui il soggetto NIS +ha ricevuto comunicazione di inserimento nell’elenco dei soggetti NIS. +4. L’obbligo di designazione del sostituto punto di contatto non si applica ai soggetti NIS che +versino nell’impossibilità materiale di effettuare tale adempimento, in quanto il punto di +contatto è l’unica persona fisica operante nell’organizzazione. +Articolo 6 +(Rappresentante nell’Unione) +1. Per designare il proprio rappresentante NIS in Italia, i soggetti NIS di cui all’articolo 5, +comma 1, lettera b), del decreto NIS, trasmettono e aggiornano, dal primo settembre al trenta +novembre di ogni anno, al domicilio digitale dell’Agenzia per la cybersicurezza nazionale +la documentazione indicata nella sezione dedicata del sito web. Con le medesime modalità, +tali soggetti comunicano il domicilio digitale per le conseguenti interlocuzioni con +l’Autorità nazionale competente NIS. +2. L’Autorità nazionale competente NIS comunica al domicilio digitale del soggetto +l’autorizzazione, o il diniego, a procedere al censimento e alla registrazione entro trenta +giorni dalla ricezione della trasmissione di cui al comma 1. +3. Ove si renda necessario richiedere al soggetto integrazioni o informazioni, i termini di cui +al comma 2 sono sospesi e ricominciano a decorrere dalla data di ricevimento delle +integrazioni e delle informazioni che sono rese entro il termine di dieci giorni dalla richiesta. +Il tardivo riscontro alle richieste di cui al presente comma può essere motivo di diniego di +censimento e registrazione. +7 di 16 + +Agenzia per la Cybersicurezza Nazionale +4. Fermo restando quanto previsto dall’articolo 4, comma 2, i soggetti di cui al comma 1 del +presente articolo possono delegare le funzioni di punto di contatto: +a) al rappresentante NIS stesso, qualora sia una persona fisica; +b) al rappresentante legale, a uno dei procuratori generali o a un dipendente del +rappresentante NIS stesso, qualora quest’ultimo sia una persona giuridica. +Articolo 7 +(Referente CSIRT e sostituti) +1. Il referente CSIRT è una persona fisica designata dal Punto di Contatto, a partire dal 20 +novembre ed entro il 31 dicembre 2025, tramite la dedicata procedura telematica resa +disponibile dal Portale ACN. +2. Il referente CSIRT ha il compito di interloquire con lo CSIRT Italia, di cui all’articolo 2, +comma 1, lettera i) del decreto NIS, ed effettuare le notifiche di cui agli articoli 25 e 26 del +medesimo decreto per conto del soggetto NIS. +3. Al fine di assicurare il tempestivo svolgimento dei compiti del referente CSIRT, con +particolare riferimento alla notifica degli incidenti significativi di cui all’articolo 25 del +decreto NIS e relativi seguiti, con le medesime modalità di cui al comma 1, possono essere +designati uno o più sostituti referente CSIRT. +4. I sostituti referente CSIRT, ove designati, supportano il referente CSIRT nell’esercizio delle +funzioni di cui al comma 2 e possono svolgerle per suo conto. +5. Il referente CSIRT e i suoi sostituti, ove designati, possiedono almeno competenze di base +in materia di sicurezza informatica e di gestione di incidenti informatici, nonché una +conoscenza approfondita dei sistemi informativi e di rete del soggetto per conto del quale +operano. + +Capo II +Censimento e associazione delle utenze +Articolo 8 +(Censimento degli utenti) +1. Gli utenti si autenticano sul Portale ACN tramite CIE o SPID personale. +2. Gli utenti completano la propria anagrafica fornendo le informazioni seguenti, se non già +condivise tramite CIE o SPID: +a) nome e cognome; +b) codice fiscale; +c) luogo e data di nascita; +d) cittadinanza; +e) Paese di residenza e, ove richiesto, di domicilio; +f) indirizzo della sede prevalente di servizio, aziendale o professionale; +g) indirizzo di posta elettronica ordinaria, preferibilmente individuale, nonché di servizio, +aziendale o professionale; +8 di 16 + +Agenzia per la Cybersicurezza Nazionale +h) ove disponibile, un indirizzo di posta elettronica certificata, preferibilmente individuale, +nonché di servizio, aziendale o professionale; +i) numero di telefono, preferibilmente individuale, nonché di servizio, aziendale o +professionale; +j) ove disponibile, un numero alternativo di telefono, preferibilmente individuale di +servizio, aziendale o professionale; +k) denominazione e codice fiscale dell’organizzazione di appartenenza prevalente. +3. Qualora, ai sensi della normativa vigente, un utente non possa disporre di credenziali SPID +o di CIE, può autenticarsi con credenziali personali. La procedura per la richiesta delle +credenziali personali è pubblicata nella sezione dedicata del sito web. Tali utenti forniscono +un codice di identificazione nazionale in luogo del codice fiscale di cui al comma 2, lettera +c). +Articolo 9 +(Associazione dell’utenza del punto di contatto e del sostituto al soggetto NIS) +1. Il punto di contatto, censito sul Portale ACN, effettua l’associazione della sua utenza con il +soggetto che lo ha designato attraverso la digitazione del suo codice fiscale o del codice +dell’indice dei domicili digitali delle pubbliche amministrazioni e dei gestori di pubblici +servizi (IPA). +2. L’utente: +a) verifica la denominazione nonché l’indirizzo, il domicilio digitale e i recapiti della sede +legale del soggetto visualizzati dal Portale ACN; +b) indica se è: +1) rappresentante legale del soggetto; +2) procuratore generale del soggetto; +3) delegato dal rappresentante legale del soggetto; +c) indica il codice fiscale dell’organizzazione di cui è dipendente qualora diverso dal +soggetto al quale si sta associando; +d) indica il ruolo svolto presso il soggetto. +3. Nel caso di cui al comma 2, lettera b), numero 3, l’utente inserisce sul Portale ACN la delega +rilasciata a suo nome dal soggetto NIS, dichiarando che la stessa lo autorizza ad accedere al +Portale ACN stesso e ai Servizi NIS per conto del medesimo soggetto. +4. L’associazione dell’utenza del punto di contatto è sottoposta alla convalida del soggetto +NIS, secondo la procedura telematica indicata nella richiesta inviata al domicilio digitale di +quest’ultimo. +5. Al termine del processo di censimento e associazione, il soggetto riceve al suo domicilio +digitale la comunicazione di conclusione del processo stesso. +6. La convalida dell’associazione dell’utenza del punto di contatto ad un soggetto NIS +determina la dissociazione, se presente, dell’utenza del punto di contatto precedentemente +associata. +7. Il sostituto punto di contatto effettua, su invito del punto di contatto, l’associazione con le +medesime modalità del punto di contatto di cui al presente articolo. + +9 di 16 + +Agenzia per la Cybersicurezza Nazionale +Articolo 10 +(Associazione delle utenze al soggetto NIS) +1. Al punto di contatto è data facoltà di invitare ulteriori utenti con il ruolo di operatore e, al +più, un utente con il ruolo di segreteria. +2. Gli utenti censiti sul Portale ACN che non sono stati designati e associati quali punti di +contatto o sostituti punti di contatto: +a) sono associati al soggetto NIS, per conto del quale operano, su indicazione e invito +del punto di contatto; +b) non possono effettuare azioni sul Portale ACN che determinano la trasmissione di +comunicazioni, inerenti il perfezionamento degli adempimenti di cu al decreto NIS, +al domicilio digitale del soggetto NIS o all’Autorità nazionale competente NIS. +3. Tutti gli utenti possono: +a) annullare la propria associazione con il soggetto NIS; +b) disabilitare la propria utenza. +4. Il punto di contatto, il sostituto punto di contatto, e la segreteria possono ridurre il proprio +ruolo ad operatore. + +Capo III +Registrazione dei soggetti NIS e elaborazione dell’elenco dei soggetti NIS +Articolo 11 +(Registrazione) +1. Dal 1° gennaio al 28 febbraio di ogni anno, gli utenti compilano, tramite il “Servizio NIS/ +Dichiarazione”, la dichiarazione per il soggetto per cui operano ai fini della sua +registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate. +2. In particolare, l’utente: +a) qualora il soggetto non sia un’impresa autonoma, indica se il soggetto è parte di un +gruppo di imprese e, in tal caso, indica se il soggetto è la capo gruppo ovvero indica il +codice fiscale della capo gruppo; +b) qualora il soggetto non sia un’impresa autonoma, elenca i soggetti NIS di cui è a +conoscenza che sono imprese collegate nei confronti delle quali soddisfi almeno uno +dei criteri di cui all’articolo 3, comma 10, del decreto NIS, indicando il codice fiscale +di tali imprese e quale dei criteri è soddisfatto; +c) qualora il soggetto non sia un’impresa autonoma, elenca le imprese collegate che +soddisfano nei suoi confronti almeno uno dei criteri di cui all’articolo 3, comma 10, del +decreto NIS, indicando il codice fiscale di tali imprese e quale dei criteri è soddisfatto, +ai fini della loro identificazione come soggetti NIS ai sensi del medesimo comma; +d) elenca i codici ATECO che descrivono l’attività del soggetto; +e) indica le normative settoriali dell’Unione europea citate negli allegati I e II del decreto +NIS per definire le tipologie di soggetto che rientrano nell’ambito di applicazione del +decreto NIS; +10 di 16 + +Agenzia per la Cybersicurezza Nazionale +f) indica i valori del fatturato e del bilancio nonché del numero di dipendenti al fine di +determinare l’appartenenza del soggetto NIS alla categoria delle medie o grandi imprese +ai sensi della raccomandazione 2003/361/CE. Le pubbliche amministrazioni possono +non indicare i valori del fatturato e del bilancio; +g) elenca le tipologie di soggetto di cui agli allegati I, II, III e IV del decreto NIS a cui il +soggetto è riconducibile. +3. Fermo restando l’obbligo di registrazione per i soggetti di cui all’articolo 3, comma 10, del +decreto NIS, l’Autorità nazionale competente NIS informa le imprese di cui al comma 2, +lettera c), del presente articolo che nei loro confronti si sono verificati i presupposti di cui +al citato articolo del decreto NIS. +4. Qualora il soggetto non sia una impresa autonoma, il calcolo del fatturato e del bilancio +nonché del numero di dipendenti di cui al comma 2, lettera f), del presente articolo è +effettuato ai sensi dell’articolo 6, paragrafo 2, dell’allegato alla raccomandazione +2003/361/CE. +5. Qualora in fase di compilazione della dichiarazione siano rilevate incongruenze, queste sono +segnalate all’utente che deve procedere a: +a) modificare la dichiarazione correggendo le informazioni errate o incomplete; +b) fornire ulteriori elementi informativi per giustificare l’incongruenza rilevata. +6. Al termine della compilazione della dichiarazione, all’utente è rimessa la conferma della +valutazione preliminare fornita automaticamente dalla piattaforma, sulla base dei criteri di +cui agli articoli 3 e 6 del decreto NIS, fondata sulla base delle informazioni fornite ai sensi +del presente articolo. +7. Gli utenti designati quali punti di contatto confermano, ai sensi del decreto del Presidente +della Repubblica del 28 dicembre 2000, n. 445, le informazioni fornite e le trasmettono +telematicamente tramite il “Servizio NIS/Dichiarazione” all’Autorità nazionale competente +NIS. Copia di tali informazioni, per ricevuta, è inviata al domicilio digitale del soggetto con +l’avvertenza che tale dichiarazione potrà essere sottoposta alle verifiche di coerenza di cui +all’articolo 14. +8. Decorsi dieci giorni solari dalla sottomissione della dichiarazione questa si intende +definitivamente acquisita e non ulteriormente modificabile dall’utente. +9. Le dichiarazioni sottomesse o modificate oltre i termini di cui al comma 1 sono considerate +tardive, salvo che il ritardo sia determinato da documentate criticità tecnico-operative non +imputabili all’utente. +10. Ai soggetti già inseriti nell’elenco dei soggetti NIS, all’avvio della registrazione per l’anno +2026, viene presentata una bozza di dichiarazione precompilata sulla base delle +informazioni trasmesse nel corso dell’anno solare precedente tramite i Servizi NIS. +Articolo 12 +(Clausola di salvaguardia) +1. Nel caso in cui l’utente ritenga che il calcolo effettuato ai sensi dell’articolo 11, comma 4, +non sia proporzionato tenuto conto dei criteri di cui al decreto del Presidente del Consiglio +dei ministri di cui all’articolo 40, comma 1, lettera a), del decreto NIS, nel corso della +11 di 16 + +Agenzia per la Cybersicurezza Nazionale +registrazione può chiedere l’applicazione della clausola di salvaguardia di cui all’articolo 3, +comma 12, del decreto NIS. +2. Ai fini della richiesta di cui al comma 1, tramite il “Servizio NIS/Dichiarazione”, l’utente +fornisce gli elementi di valutazione corrispondenti ai criteri di cui al decreto del Presidente +del Consiglio dei ministri di cui all’articolo 40, comma 1, lettera a), del decreto NIS +all’Autorità nazionale competente NIS, che li condivide con le Autorità di settore interessate +ai fini delle valutazioni di cui all’articolo 11, comma 4, lettera c), del medesimo decreto. +3. Al soggetto NIS è fornito riscontro con la comunicazione dell’Autorità nazionale +competente NIS ai sensi dell’articolo 7, comma 3, del decreto NIS. + +Articolo 13 +(Individuazione da parte dell’Autorità nazionale competente NIS) +1. I soggetti che ricevono una notifica di individuazione da parte dell’Autorità nazionale +competente NIS, su proposta delle Autorità di settore, ai sensi dell’articolo 3, comma 13, +del decreto NIS, procedono al censimento e alla registrazione alla stregua delle disposizioni +del presente capo. +2. In fase di registrazione, tali soggetti prendono visione e confermano gli elementi presenti +nella notifica di cui al comma 1. +Articolo 14 +(Verifiche di coerenza) +1. Le verifiche di coerenza delle informazioni contenute nelle dichiarazioni sono svolte, a +campione, dall’Autorità nazionale competente NIS d’intesa con le Autorità di settore e non +sollevano il soggetto NIS dall’obbligo del rispetto dei termini d’uso di cui all’articolo 3 +della presente determinazione e, in particolare, dalla responsabilità per le dichiarazioni +mendaci di cui al comma 5 del medesimo articolo. +2. Nei casi di cui al comma 1, l’Autorità nazionale competente NIS fornisce riscontro al +soggetto entro trenta giorni dalla presentazione della dichiarazione tramite il “Servizio NIS/ +Dichiarazione”. Il predetto termine può essere prorogato dall’Autorità nazionale competente +NIS, per una sola volta e fino ad un massimo di ulteriori venti giorni, qualora sia necessario +svolgere approfondimenti complessi riguardanti la coerenza delle informazioni contenute +nella dichiarazione. +3. Ove si renda necessario richiedere al soggetto integrazioni, informazioni aggiuntive o +modifiche della dichiarazione, i termini di cui al comma 2 sono sospesi e ricominciano a +decorrere dalla data di ricevimento delle integrazioni e delle informazioni che sono rese +entro il termine di dieci giorni dalla richiesta. Il tardivo riscontro alle richieste di cui al +presente comma può essere motivo di rigetto della dichiarazione. +4. Al termine delle verifiche di coerenza delle informazioni contenute nelle dichiarazioni, +l’Autorità nazionale competente comunica, tramite i Servizi NIS al domicilio digitale del +soggetto NIS: +a) l’esito positivo della verifica; +12 di 16 + +Agenzia per la Cybersicurezza Nazionale +b) l’esito negativo della verifica. +5. La comunicazione di cui al comma 4, lettera b), non solleva il soggetto NIS dall’obbligo di +registrazione di cui all’articolo 7, comma 1, del decreto NIS. +Articolo 15 +(Elaborazione dell’elenco dei soggetti NIS e comunicazioni) +1. L’elenco dei soggetti NIS di cui all’articolo 7, comma 2, del decreto NIS è elaborato +dall’Autorità nazionale competente NIS sulla base delle informazioni trasmesse dai soggetti +NIS ai sensi del capo III della presente determinazione e delle verifiche svolte dalle Autorità +di settore ai sensi dell’articolo 11, comma 4, lettera a), del medesimo decreto che, ove +necessario, possono proseguire anche successivamente all’elaborazione dell’elenco dei +soggetti NIS. +2. Ai sensi del comma 1, il processo di registrazione di cui alla presente determinazione +costituisce la fase endoprocedimentale del procedimento di costituzione dell’elenco dei +soggetti NIS. +3. Ai sensi dell’articolo 7, comma 3, del decreto NIS, l’Autorità nazionale competente NIS +comunica ai soggetti registrati l'inserimento, o meno, nell'elenco dei soggetti NIS. Ai +soggetti inseriti nell’elenco dei soggetti NIS e ai loro punti di contatto viene, altresì, +comunicato un codice identificativo univoco, per il soggetto NIS, al fine di facilitare le +interlocuzioni con l’Autorità nazionale competente NIS. + +Capo IV +Aggiornamento delle informazioni +Articolo 16 +(Processo per l’aggiornamento annuale delle informazioni) +1. Dal 15 aprile al 31 maggio di ogni anno, gli utenti aggiornano, tramite il “Servizio NIS/ +Aggiornamento annuale informazioni”, le informazioni per conto del soggetto per cui +operano, assicurandone la correttezza. +2. Per tutti i soggetti NIS: +a) il punto di contatto si assicura che i propri dati anagrafici e di contatto siano corretti e +aggiornati. Ove prevista dall’articolo 4, il punto di contatto si assicura che la delega +conferitagli dal rappresentante legale del soggetto sia corretta, aggiornata e conforme a +quanto previsto dall’articolo medesimo; +b) il sostituto punto di contatto si assicura che i propri dati anagrafici e di contatto siano +corretti e aggiornati. Ove prevista delega il sostituto punto di contatto si assicura che la +delega conferitagli dal rappresentante legale del soggetto sia corretta, aggiornata e +conforme a quanto previsto dall’articolo medesimo; +c) la segreteria, ove presente, si assicura che i propri dati anagrafici e di contatto siano +corretti e aggiornati. +3. Per tutti i soggetti NIS, gli utenti verificano la correttezza e l’aggiornamento: +13 di 16 + +Agenzia per la Cybersicurezza Nazionale +a) dei dati anagrafici e di contatto del soggetto NIS. Tali informazioni includono almeno +il codice fiscale, la denominazione, l’indirizzo della sede legale, l’indicazione del +rappresentante legale, l’elenco dei procuratori generali, il numero di telefono, il +domicilio digitale e un indirizzo di posta elettronica ordinaria funzionale; +b) dell’elenco dei componenti degli organi di amministrazione e direttivi, quali persone +fisiche responsabili ai sensi dell’articolo 38, comma 5, del decreto NIS; +c) ove applicabile, dell’elenco dei servizi che rientrano nell’ambito di applicazione della +direttiva 2022/2555 che il soggetto NIS offre nell’UE e indicando in quali Stati membri; +d) dello spazio di indirizzamento IP pubblico e dei nomi di dominio in uso o nella +disponibilità del soggetto NIS, eventualmente distinto a livello di articolazioni di primo +livello; +e) dell’elenco degli accordi di condivisione delle informazioni +f) dei dati identificativi del referente CSIRT e degli eventuali sostituti. +4. Per i soggetti NIS di cui all’articolo 7, comma 5, del decreto NIS gli utenti verificano la +correttezza e l’aggiornamento dell’elenco delle sedi del soggetto NIS nell’Unione, +indicandone l’indirizzo. +5. Per i soggetti NIS di cui all’articolo 5, comma 1, lettera b), del decreto NIS, che hanno +designato il proprio rappresentante NIS in Italia ai sensi dell’articolo 6 della presente +determinazione, gli utenti verificano che dati anagrafici e di contatto del rappresentante NIS +siano corretti e aggiornati. +6. Qualora ritenuto opportuno, è data la facoltà di descrivere la struttura organizzativa +dell’organizzazione, indicandone la suddivisione in articolazioni di primo livello. Tale +descrizione della struttura organizzativa potrà essere impiegata per l’eventuale conferimento +di informazioni di dettaglio relative alle articolazioni di primo livello. +7. Gli utenti designati quali punti di contatto confermano, ai sensi del decreto del Presidente +della Repubblica del 28 dicembre 2000, n. 445, le informazioni fornite e le trasmettono +telematicamente tramite il “Servizio NIS/Aggiornamento annuale informazioni” +all’Autorità nazionale competente NIS. Copia di tali informazioni, per ricevuta, è inviata al +domicilio digitale del soggetto. +8. La modifica, confermata da punto di contatto, dell’indicazione del rappresentante legale o +dell’elenco dei procuratori generali del soggetto NIS è sottoposta alla convalida del soggetto +medesimo, secondo la procedura telematica indicata nella richiesta inviata al domicilio +digitale di quest’ultimo. +9. Le modifiche dei dati anagrafici e di contatto del soggetto NIS sono trasmesse, per ricevuta, +al domicilio digitale di quest’ultimo. +10. Le modifiche dei dati anagrafici e di contatto degli utenti sono trasmesse, per ricevuta, +all’indirizzo di posta elettronica certificata indicata dall’utente stesso o, in subordine, +all’indirizzo di posta elettronica ordinaria indicata dall’utente stesso. +11. In fase di prima applicazione, fermo restando quanto previsto dall’articolo 35, comma 3, +lettera c), e dall’articolo 42, comma 1, lettera c), del decreto NIS, in caso di registrazione +tardiva, il termine per completare l’aggiornamento annuale è comunicato di volta in volta +dall’Autorità nazionale competente NIS. + +14 di 16 + +Agenzia per la Cybersicurezza Nazionale +12. Il comma 3, lettera b), del presente articolo e l’articolo 17 non si applicano ai soggetti che +rientrano nell’ambito di applicazione del decreto NIS e del Regolamento UE 2022/2554 +(DORA). +Articolo 17 +(Elencazione degli organi di amministrazione e direttivi) +1. Ai fini dell’articolo 16, comma 3, lettera b), tramite il “Servizio NIS/Aggiornamento +annuale informazioni”, gli utenti elencano i codici fiscali delle persone fisiche che +compongono gli organi di amministrazione e direttivi, indicandone l’indirizzo di posta +elettronica certificata. +2. Le informazioni di cui al comma 1 sono confermate dal punto di contatto. +3. Ai fini dell’articolo 7, comma 4, lettera c), del decreto NIS, le persone fisiche appartenenti +agli organi di amministrazione e direttivi del soggetto NIS accettano tale indicazione +accedendo al Portale ACN, secondo la procedura telematica indicata nella richiesta inviata +a loro indirizzo di posta elettronica certificata di cui al comma 1. +Articolo 18 +(Processo per l’aggiornamento continuo delle informazioni) +1. A seguito del perfezionamento dell’aggiornamento annuale, laddove siano sopravvenute +modifiche alle informazioni trasmesse ai sensi dell’articolo 16, tramite il “Servizio NIS/ +Aggiornamento continuo informazioni” gli utenti forniscono le informazioni aggiornate per +conto del soggetto per cui operano, assicurandone la correttezza. +2. L’aggiornamento continuo delle informazioni è possibile fino al 14 aprile di ogni anno +successivo alla ricezione della comunicazione di cui all’articolo 7, comma 3, lettera a), del +decreto NIS. +3. Gli utenti designati quali punti di contatto confermano, ai sensi del decreto del Presidente +della Repubblica del 28 dicembre 2000, n. 445, le informazioni fornite e le trasmettono +telematicamente tramite il “Servizio NIS/Aggiornamento continuo informazioni” +all’Autorità nazionale competente NIS. Copia di tali informazioni, per ricevuta, è inviata al +domicilio digitale del soggetto. +4. La modifica, confermata da punto di contatto, dell’indicazione del rappresentante legale o +dell’elenco dei procuratori generali del soggetto NIS è sottoposta alla convalida del soggetto +medesimo, secondo la procedura telematica indicata nella richiesta inviata al domicilio +digitale di quest’ultimo. +5. Le modifiche dei dati anagrafici e di contatto del soggetto NIS sono trasmesse, per ricevuta, +al domicilio digitale di quest’ultimo. +6. Le modifiche dei dati anagrafici e di contatto degli utenti sono trasmesse, per ricevuta, +all’indirizzo di posta elettronica certificata indicata dall’utente stesso o, in subordine, +all’indirizzo di posta elettronica ordinaria indicata dall’utente stesso. + +15 di 16 + +Agenzia per la Cybersicurezza Nazionale +Capo V +Disposizioni finali +Articolo 19 +(Disposizioni finanziarie) +1. Agli oneri derivanti dalla presente determinazione, a carico dell’Autorità nazionale +competente NIS e delle Autorità di settore, si provvede, rispettivamente, con le risorse di +cui agli articoli 10 e 11 del decreto NIS. + +Articolo 20 +(Pubblicità) +1. La presente determinazione è pubblicata sul sito web e sui siti web istituzionali delle +Autorità di settore NIS e ne sarà data, altresì, comunicazione tramite pubblicazione nella +Gazzetta Ufficiale della Repubblica italiana. +Articolo 21 +(Applicazione) +1. La presente determinazione aggiorna e sostituisce la determinazione ACN n. 333017 del 22 +settembre 2025. +2. Per quanto non previsto dalla presente determinazione, si applicano le disposizioni del +decreto NIS. +3. La presente determinazione si applica a decorrere dal 31 dicembre 2025. +Roma, data del protocollo +IL DIRETTORE GENERALE +Bruno Frattasi +Bruno +Frattasi +18.12.2025 +18:12:36 +GMT+01:00 + +16 di 16 + diff --git a/docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf b/docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf new file mode 100644 index 0000000..8d8139c Binary files /dev/null and b/docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf differ diff --git a/docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf.txt b/docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf.txt new file mode 100644 index 0000000..6dea7fb --- /dev/null +++ b/docs/nis2/Dir2022_2555_UE_NIS2_ITA.pdf.txt @@ -0,0 +1,4772 @@ +L 333/80 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +DIRETTIVE +DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO +del 14 dicembre 2022 +relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del +regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva +(UE) 2016/1148 (direttiva NIS 2) +(Testo rilevante ai fini del SEE) + +IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA, + +visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114, +vista la proposta della Commissione europea, +previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, +visto il parere della Banca centrale europea (1), +visto il parere del Comitato economico e sociale europeo (2), +previa consultazione del Comitato delle regioni, +deliberando secondo la procedura legislativa ordinaria (3), +considerando quanto segue: +(1) + +La direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (4) mirava a sviluppare le capacità di +cibersicurezza in tutta l'Unione, a mitigare le minacce ai sistemi informatici e di rete utilizzati per fornire servizi +essenziali in settori chiave e a garantire la continuità di tali servizi in caso di incidenti, contribuendo in tal modo alla +sicurezza dell'Unione e al funzionamento efficace della sua economia e della sua società. + +(2) + +Dall'entrata in vigore della direttiva (UE) 2016/1148 sono stati compiuti progressi significativi nell'aumentare il +livello dell'Unione in materia di ciberresilienza. La revisione di tale direttiva ha mostrato quanto quest'ultima sia +servita da catalizzatore per l'approccio istituzionale e normativo alla cibersicurezza nell'Unione, aprendo la strada a +un significativo cambiamento della mentalità. Tale direttiva ha garantito il completamento dei quadri nazionali sulla +sicurezza dei sistemi informatici e di rete definendo le strategie nazionali sulla sicurezza dei sistemi informatici e di +rete e stabilendo capacità nazionali e attuando misure normative riguardanti le infrastrutture e gli attori essenziali +individuati da ciascuno Stato membro. La direttiva (UE) 2016/1148 ha inoltre contribuito alla cooperazione a +livello dell'Unione mediante l'istituzione del gruppo di cooperazione e della rete di gruppi nazionali di intervento +per la sicurezza informatica in caso di incidente. Nonostante tali risultati, la revisione della direttiva (UE) +2016/1148 ha rivelato carenze intrinseche che le impediscono di affrontare efficacemente le sfide attuali ed +emergenti in materia di cibersicurezza. + +(3) + +I sistemi informatici e di rete occupano ormai una posizione centrale nella vita di tutti i giorni, con la rapida +trasformazione digitale e l'interconnessione della società, anche negli scambi transfrontalieri. Ciò ha portato a +un'espansione del panorama delle minacce informatiche, con nuove sfide che richiedono risposte adeguate, +coordinate e innovative in tutti gli Stati membri. Il numero, la portata, il livello di sofisticazione, la frequenza e +l'impatto degli incidenti stanno aumentando e rappresentano una grave minaccia per il funzionamento dei sistemi +informatici e di rete. Tali incidenti possono quindi impedire l'esercizio delle attività economiche nel mercato + +(1) GU C 233 del 16.6.2022, pag. 22. +(2) GU C 286 del 16.7.2021, pag. 170. +(3) Posizione del Parlamento europeo del 10 novembre 2022 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del +28 novembre 2022. +(4) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di +sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/81 + +interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all'economia e alla società +dell'Unione. Pertanto la preparazione e l'efficacia della cibersicurezza sono oggi più che mai essenziali per il corretto +funzionamento del mercato interno. Inoltre, la cibersicurezza è un fattore abilitante fondamentale per molti settori +critici, affinché questi possano attuare con successo la trasformazione digitale e cogliere appieno i vantaggi +economici, sociali e sostenibili della digitalizzazione. + +(4) + +La base giuridica della direttiva (UE) 2016/1148 era l'articolo 114 del trattato sul funzionamento dell'Unione +europea (TFUE), il cui obiettivo è l'instaurazione e il funzionamento del mercato interno mediante il rafforzamento +delle misure relative al ravvicinamento delle normative nazionali. Gli obblighi di cibersicurezza imposti ai soggetti +che forniscono servizi o svolgono attività economicamente rilevanti variano notevolmente da uno Stato membro +all'altro in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza. Tali disparità comportano costi +aggiuntivi e creano difficoltà per le entità che offrono beni o servizi transfrontalieri. Gli obblighi imposti da uno +Stato membro che sono diversi o addirittura in conflitto con quelli imposti da un altro Stato membro possono +incidere in modo sostanziale su tali attività transfrontaliere. Inoltre, è probabile che una progettazione o attuazione +inadeguata degli obblighi in materia di cibersicurezza in uno Stato membro abbia ripercussioni sul livello di +cibersicurezza di altri Stati membri, in particolare in considerazione dell'intensità degli scambi transfrontalieri. Il +riesame della direttiva (UE) 2016/1148 ha evidenziato notevoli divergenze nella sua attuazione da parte degli Stati +membri, anche per quanto riguarda il suo ambito di applicazione, la cui delimitazione è stata lasciata in larga +misura alla discrezione degli Stati membri. La direttiva (UE) 2016/1148 ha inoltre conferito agli Stati membri un +ampio potere discrezionale per quanto riguarda l'attuazione degli obblighi in materia di sicurezza e segnalazione +degli incidenti ivi stabiliti. Tali obblighi sono stati pertanto attuati in modi significativamente diversi a livello +nazionale. Analoghe divergenze sussistono nell'attuazione delle disposizioni della direttiva (UE) 2016/1148 in +materia di vigilanza e esecuzione. + +(5) + +Tutte tali divergenze comportano una frammentazione del mercato interno e possono avere un effetto +pregiudizievole sul suo funzionamento, con ripercussioni in particolare sulla fornitura transfrontaliera di servizi e +sul livello di ciberresilienza dovute all'applicazione di misure diverse. Dette divergenze possono portare infine a una +maggiore vulnerabilità di taluni Stati membri di fronte alle minacce informatiche, con potenziali ricadute sull'intera +Unione. La presente direttiva mira a eliminare tali ampie divergenze tra gli Stati membri, in particolare stabilendo +norme minime riguardanti il funzionamento di un quadro normativo coordinato, istituendo meccanismi per una +cooperazione efficace tra le autorità responsabili in ciascuno Stato membro, aggiornando l'elenco dei settori e delle +attività soggetti agli obblighi in materia di cibersicurezza e prevedendo mezzi di ricorso e misure di esecuzione +effettivi che siano funzionali all'efficace applicazione di tali obblighi. La direttiva (UE) 2016/1148 dovrebbe +pertanto essere abrogata e sostituita dalla presente direttiva. + +(6) + +Con l'abrogazione della direttiva (UE) 2016/1148, l'ambito di applicazione per settore dovrebbe essere esteso a una +parte più ampia dell'economia per fornire una copertura completa dei settori e dei servizi di vitale importanza per +le principali attività sociali ed economiche nel mercato interno. In particolare, la presente direttiva mira a superare +le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, che si è rivelata +obsoleta, in quanto non riflette l'effettiva importanza dei settori o dei servizi per le attività sociali ed economiche +nel mercato interno. + +(7) + +Ai sensi della direttiva (UE) 2016/1148, gli Stati membri erano responsabili di identificare i soggetti che +soddisfacevano i criteri per essere considerati operatori di servizi essenziali. Al fine di eliminare le ampie divergenze +tra gli Stati membri a tale riguardo e garantire la certezza del diritto per quanto riguarda le misure di gestione dei +rischi di cibersicurezza e gli obblighi di segnalazione per tutti i soggetti pertinenti, è opportuno stabilire un criterio +uniforme che determini quali soggetti rientrano nell'ambito di applicazione della presente direttiva. Tale criterio +dovrebbe consistere nell'applicazione di una regola della soglia di dimensione, in base alla quale si considerano +medie imprese ai sensi dell'articolo 2, paragrafo 1, dell'allegato alla raccomandazione 2003/361/CE della +Commissione (5), o superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che operano + +(5) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie +imprese (GU L 124 del 20.5.2003, pag. 36). + +L 333/82 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +nei settori e forniscono le tipologie di servizi o svolgono le attività contemplati dalla presente direttiva. Gli Stati +membri dovrebbero inoltre prevedere che determinate piccole imprese e microimprese, quali definite all'articolo 2, +paragrafi 2 e 3, di tale allegato, che soddisfano criteri specifici che indicano un ruolo chiave per la società, +l'economia o per particolari settori o tipi di servizi rientrino nell'ambito di applicazione della presente direttiva. + +(8) + +L'esclusione degli enti della pubblica amministrazione dall'ambito di applicazione della presente direttiva dovrebbe +applicarsi ai soggetti che operano principalmente nei settori della sicurezza nazionale, della sicurezza pubblica, della +difesa o svolgono attività di contrasto, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento di reati. +Tuttavia, gli enti della pubblica amministrazione le cui attività sono solo marginalmente connesse a tali settori non +dovrebbero essere esclusi dall'ambito di applicazione della presente direttiva. Ai fini della presente direttiva, non si +considera che i soggetti con competenze normative operino nel settore dell'attività di contrasto e pertanto essi non +sono esclusi su tale base dall'ambito di applicazione della presente direttiva. Gli enti della pubblica amministrazione +istituiti congiuntamente con un paese terzo in conformità di un accordo internazionale sono esclusi dall'ambito di +applicazione della presente direttiva. La presente direttiva non si applica alle missioni diplomatiche e consolari degli +Stati membri nei paesi terzi né ai loro sistemi informatici e di rete, nella misura in cui tali sistemi siano situati nei +locali della missione o utilizzati per utenti in un paese terzo. + +(9) + +Gli Stati membri dovrebbero essere in grado di adottare le misure necessarie a garantire la tutela degli interessi +essenziali della sicurezza nazionale, a salvaguardare l'ordine pubblico e la pubblica sicurezza e a consentire la +prevenzione, l'indagine, l'accertamento e il perseguimento dei reati. A tal fine, gli Stati membri dovrebbero poter +esentare soggetti specifici che svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della +difesa o dell'applicazione della legge, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento di reati +da determinati obblighi previsti dalla presente direttiva per quanto riguarda tali attività. Qualora un soggetto +fornisca servizi esclusivamente a un ente della pubblica amministrazione escluso dall'ambito di applicazione della +presente direttiva, gli Stati membri dovrebbero poter esentare tale soggetto da determinati obblighi stabiliti dalla +presente direttiva per quanto riguarda tali servizi. Inoltre, nessuno Stato membro dovrebbe essere tenuto a fornire +informazioni la cui divulgazione sia contraria agli interessi essenziali della propria pubblica sicurezza. Dovrebbero +essere prese in considerazione in tale contesto le norme dell'Unione o nazionali per la protezione delle informazioni +classificate, gli accordi di non divulgazione o gli accordi di non divulgazione informali, quale il protocollo TLP. +Il protocollo TLP deve essere inteso come uno strumento per fornire informazioni su eventuali limitazioni per +quanto riguarda l'ulteriore diffusione delle informazioni. È utilizzato in quasi tutti i team di risposta agli incidenti di +sicurezza informatica (CSIRT) e in alcuni centri di analisi e condivisione delle informazioni. + +(10) + +Sebbene la presente direttiva si applichi ai soggetti che svolgono attività di produzione di energia elettrica da centrali +nucleari, alcune di tali attività possono essere collegate alla sicurezza nazionale. In tal caso, uno Stato membro +dovrebbe poter esercitare la propria responsabilità per la salvaguardia della propria sicurezza nazionale in relazione +a tali attività, comprese le attività all'interno della catena del valore nucleare, conformemente ai trattati. + +(11) + +Alcuni soggetti svolgono attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o +dell'applicazione della legge, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento dei reati, +fornendo nel contempo anche servizi fiduciari. I prestatori di servizi fiduciari che rientrano nell'ambito di +applicazione del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio (6) dovrebbero rientrare +nell'ambito di applicazione della presente direttiva al fine di garantire un livello di requisiti di sicurezza e +supervisione analogo a quello precedentemente stabilito in tale regolamento nei confronti dei prestatori di servizi +fiduciari. In linea con l'esclusione di alcuni servizi specifici dal regolamento (UE) n. 910/2014, la presente direttiva +non dovrebbe applicarsi alla prestazione di servizi fiduciari che sono utilizzati esclusivamente nell'ambito di sistemi +chiusi contemplati dal diritto nazionale o da accordi conclusi tra un insieme definito di partecipanti. + +(6) Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e +servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, +pag. 73). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/83 + +(12) + +I fornitori di servizi postali come definiti dalla direttiva 97/67/CE del Parlamento europeo e del Consiglio (7), inclusi i +fornitori di servizi di corriere, dovrebbero essere soggetti alla presente direttiva se provvedono ad almeno una delle +fasi della catena di consegna postale, in particolare la raccolta, lo smistamento, il trasporto o la distribuzione di invii +postali, compresi i servizi di ritiro, tenendo conto nel contempo del grado di relativa dipendenza dai sistemi +informatici e di rete. I servizi di trasporto che non sono forniti nell'ambito di una di tali fasi dovrebbero essere +esclusi dall'ambito di applicazione dei servizi postali. + +(13) + +Data l'intensificazione e la crescente sofisticazione delle minacce informatiche, gli Stati membri dovrebbero +adoperarsi per garantire che i soggetti esclusi dall'ambito di applicazione della presente direttiva raggiungano un +livello elevato di cibersicurezza e sostengano l'attuazione di misure equivalenti di gestione dei rischi di +cibersicurezza, che riflettano la natura sensibile di tali soggetti. + +(14) + +A qualsiasi trattamento di dati personali ai sensi della presente direttiva si applica il diritto dell'Unione in materia di +protezione dei dati personali e della vita privata. La presente direttiva non pregiudica in particolare il regolamento +(UE) 2016/679 del Parlamento europeo e del Consiglio (8) e la direttiva 2002/58/CE del Parlamento europeo e del +Consiglio (9). La presente direttiva non dovrebbe pertanto pregiudicare, tra l'altro, i compiti e i poteri delle autorità +competenti di monitorare il rispetto del diritto dell'Unione in vigore in materia di protezione dei dati personali e +della vita privata. + +(15) + +I soggetti che rientrano nell'ambito di applicazione della presente direttiva ai fini del rispetto delle misure di gestione +dei rischi di cibersicurezza e degli obblighi di segnalazione dovrebbero essere classificati in due categorie, essenziali e +importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché delle loro +dimensioni. A tale riguardo, si dovrebbe tenere debitamente conto, se del caso, di tutte le valutazioni settoriali dei +rischi o di tutti gli orientamenti pertinenti elaborati dalle autorità competenti. I regimi di esecuzione e di vigilanza +per tali due categorie di soggetti dovrebbero essere differenziati per garantire un giusto equilibrio tra i requisiti e gli +obblighi basati sui rischi, da un lato, e gli oneri amministrativi derivanti dalla vigilanza della conformità, dall'altro. + +(16) + +Al fine di evitare che soggetti che hanno imprese partner o che sono imprese collegate siano considerati soggetti +essenziali o importanti qualora ciò sarebbe sproporzionato, gli Stati membri possono tenere conto del grado di +indipendenza di cui gode un soggetto in relazione alle sue imprese partner e collegate nell'applicazione +dell'articolo 6, paragrafo 2, dell'allegato alla raccomandazione 2003/361/CE. In particolare, gli Stati membri +possono tenere conto del fatto che un soggetto è indipendente dalle sue imprese partner o collegate in termini di +sistemi informatici e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce. Su tale +base, se del caso, gli Stati membri possono ritenere che tale soggetto non sia considerato una media impresa ai sensi +dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE, o non superi i massimali per le medie imprese di +cui al paragrafo 1 di tale articolo se, tenuto conto del grado di indipendenza di tale soggetto, si ritenga che esso non +sia consideri una media impresa o superi tali massimali nel caso in cui siano stati presi in considerazione solo i suoi +dati. Ciò lascia impregiudicati gli obblighi di cui alla presente direttiva per le imprese associate e collegate che +rientrano nel campo di applicazione della presente direttiva. + +(17) + +Gli Stati membri dovrebbero poter decidere che i soggetti definiti, prima dell'entrata in vigore della presente direttiva, +come operatori di servizi essenziali ai sensi della direttiva (UE) 2016/1148 debbano essere considerati soggetti +essenziali. + +(7) Direttiva 97/67/CE del Parlamento europeo e del Consiglio, del 15 dicembre 1997, concernente regole comuni per lo sviluppo del +mercato interno dei servizi postali comunitari e il miglioramento della qualità del servizio (GU L 15 del 21.1.1998, pag. 14). +(8) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche +con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE +(regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1). +(9) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela +della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) +(GU L 201 del 31.7.2002, pag. 37). + +L 333/84 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(18) + +Al fine di garantire una panoramica chiara dei soggetti che rientrano nell'ambito di applicazione della presente +direttiva, gli Stati membri dovrebbero definire un elenco dei soggetti essenziali ed importanti nonché dei soggetti +che forniscono servizi di registrazione dei nomi di dominio. A tal fine, gli Stati membri dovrebbero imporre ai +soggetti di trasmettere alle autorità competenti almeno le seguenti informazioni, vale a dire il nome, l'indirizzo e i +recapiti aggiornati, compresi gli indirizzi di posta elettronica, le serie IP e i numeri di telefono del soggetto, se del +caso, il settore e il sottosettore pertinente di cui agli allegati e, ove applicabile, un elenco degli Stati membri in cui +prestano servizi che rientrano nell'ambito di applicazione della presente direttiva. A tal fine, la Commissione, +assistita dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA), dovrebbe fornire senza indebito ritardo +orientamenti e modelli relativi all'obbligo di fornire informazioni. Per facilitare la compilazione e l'aggiornamento +dell'elenco dei soggetti essenziali e importanti, nonché dei soggetti che forniscono servizi di registrazione dei nomi +di dominio, gli Stati membri dovrebbero poter istituire meccanismi nazionali che consentano ai soggetti di +registrarsi. Qualora esistano registri a livello nazionale, gli Stati membri possono decidere in merito ai meccanismi +appropriati che consentono di identificare i soggetti che rientrano nell'ambito di applicazione della presente +direttiva. + +(19) + +Gli Stati membri dovrebbero essere tenuti a comunicare alla Commissione almeno il numero di soggetti essenziali e +importanti per ciascun settore e sottosettore di cui agli allegati, nonché le informazioni pertinenti sul numero di +soggetti identificati e sulla disposizione, tra quelle previste dalla presente direttiva, sulla base della quale sono stati +identificati, e la tipologia dei servizi che forniscono. Gli Stati membri sono incoraggiati a scambiare con la +Commissione informazioni sui soggetti essenziali e importanti e, in caso di incidente di cibersicurezza su vasta +scala, informazioni pertinenti quali il nome del soggetto interessato. + +(20) + +La Commissione, in collaborazione con il gruppo di cooperazione e previa consultazione dei pertinenti portatori di +interessi, dovrebbe fornire orientamenti relativi all'attuazione dei criteri applicabili alle microimprese e alle piccole +imprese per valutare se rientrino nell'ambito di applicazione della presente direttiva. La Commissione dovrebbe +inoltre garantire che vengano forniti orientamenti adeguati alle microimprese e alle piccole imprese rientranti +nell'ambito di applicazione della presente direttiva. La Commissione, con il sostegno degli Stati membri, dovrebbe +fornire alle microimprese e alle piccole imprese informazioni al riguardo. + +(21) + +La Commissione potrebbe fornire orientamenti volti ad assistere gli Stati membri nell'attuazione delle disposizioni +della presente direttiva sull'ambito di applicazione e nella valutazione della proporzionalità delle misure da adottare +ai sensi della presente direttiva, segnatamente per quanto riguarda i soggetti con modelli di business o contesti +operativi complessi, in base ai quali un soggetto può soddisfare contemporaneamente i criteri assegnati ai soggetti +essenziali e importanti o può svolgere simultaneamente attività che rientrano in parte nell'ambito di applicazione +della presente direttiva e in parte ne sono escluse. + +(22) + +La presente direttiva stabilisce lo scenario di riferimento per le misure di gestione dei rischi di cibersicurezza e gli +obblighi di segnalazione in tutti i settori che rientrano nel suo ambito di applicazione. Al fine di evitare la +frammentazione delle disposizioni in materia di cibersicurezza contenute negli atti giuridici dell'Unione, allorché +ulteriori atti giuridici settoriali dell'Unione relativi alle misure di gestione dei rischi di cibersicurezza e agli obblighi +di segnalazione siano ritenuti necessari per garantire un elevato livello di cibersicurezza in tutta l'Unione, la +Commissione dovrebbe valutare se tali ulteriori disposizioni possano essere stabilite in un atto di esecuzione ai sensi +della presente direttiva. Qualora tali atti di esecuzione non siano adeguati a detto scopo, gli atti giuridici settoriali +dell'Unione potrebbero contribuire a garantire un livello elevato di cibersicurezza in tutta l'Unione, tenendo +pienamente conto delle specificità e delle complessità dei settori interessati. A tal fine, la presente direttiva non +preclude l'adozione di ulteriori atti giuridici settoriali dell'Unione riguardanti le misure di gestione dei rischi di +cibersicurezza e gli obblighi di segnalazione che tengano debitamente conto della necessità di un quadro di +sicurezza informatica globale e coerente. La presente direttiva lascia impregiudicate le competenze di esecuzione +esistenti conferite alla Commissione in una serie di settori, tra cui i trasporti e l'energia. + +(23) + +Qualora un atto giuridico settoriale dell'Unione faccia obbligo ai soggetti essenziali o importanti di adottare misure +di gestione dei rischi di cibersicurezza o di notificare incidenti significativi, e nella misura in cui gli effetti di tali +obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, tali disposizioni, comprese + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/85 + +quelle relative alla vigilanza e all'esecuzione, si applicano a detti soggetti. Qualora un atto giuridico settoriale +dell'Unione non contempli tutti i soggetti di un settore specifico che rientra nell'ambito di applicazione della +presente direttiva, le pertinenti disposizioni della presente direttiva dovrebbero continuare ad applicarsi ai soggetti +non contemplati da tale atto. + +(24) + +Qualora le disposizioni di un atto giuridico settoriale dell'Unione impongano ai soggetti essenziali o importanti di +rispettare gli obblighi di effetto almeno equivalente agli obblighi di segnalazione di cui alla presente direttiva, è +opportuno garantire la coerenza e l'efficacia del trattamento delle notifiche degli incidenti. A tal fine, le disposizioni +in materia di notifica degli incidenti dell'atto giuridico settoriale dell'Unione dovrebbero fornire ai CSIRT, alle +autorità competenti o ai punti di contatto unici di cui alla presente direttiva un accesso immediato alle notifiche +degli incidenti di cibersicurezza (punti di contatto unici) presentate in conformità dell'atto giuridico settoriale +dell'Unione. In particolare, tale accesso immediato può essere garantito se le notifiche degli incidenti sono trasmesse +senza indebito ritardo al CSIRT, all'autorità competente o al punto di contatto unico ai sensi della presente direttiva. +Se del caso, gli Stati membri dovrebbero istituire un meccanismo di segnalazione automatica e diretta, che garantisca +la condivisione sistematica e immediata delle informazioni con i CSIRT, le autorità competenti o il punto di contatto +unico per quanto riguarda la gestione di tali notifiche di incidenti. Al fine di semplificare la comunicazione e di +attuare il meccanismo di segnalazione automatica e diretta, gli Stati membri potrebbero, conformemente all'atto +giuridico settoriale dell'Unione, utilizzare un punto di accesso unico. + +(25) + +Gli atti giuridici settoriali dell'Unione che prevedono misure di gestione dei rischi di cibersicurezza o obblighi di +segnalazione di effetto almeno equivalente a quelli stabiliti nella presente direttiva potrebbero prevedere che le +autorità competenti ai sensi di tali atti esercitino i loro poteri di vigilanza ed esecuzione in relazione a tali misure o +obblighi con l'assistenza delle autorità competenti ai sensi della presente direttiva. Le autorità competenti interessate +potrebbero stabilire modalità di cooperazione a tale scopo. Tali modalità di cooperazione potrebbero precisare, tra +l'altro, le procedure relative al coordinamento delle attività di vigilanza, tra cui le procedure di indagine e di +ispezione in loco conformemente al diritto nazionale e un meccanismo per lo scambio di informazioni pertinenti in +materia di vigilanza ed esecuzione tra autorità competenti, compreso l'accesso alle informazioni relative alla +cibersicurezza richieste dalle autorità competenti ai sensi della presente direttiva. + +(26) + +Qualora atti giuridici settoriali dell'Unione impongano o forniscano incentivi a soggetti affinché notifichino minacce +informatiche significative, gli Stati membri dovrebbero altresì incoraggiare la condivisione di minacce informatiche +significative con i CSIRT, le autorità competenti o i punti di contatto unici ai sensi della presente direttiva, al fine di +garantire un maggiore livello di consapevolezza di tali organismi in merito al panorama delle minacce informatiche +e consentire loro di rispondere in modo efficace e tempestivo qualora tali minacce si concretizzino. + +(27) + +I futuri atti giuridici settoriali dell'Unione dovrebbero tenere debitamente conto delle definizioni e del quadro di +vigilanza e applicazione previsto dalla presente direttiva. + +(28) + +Il regolamento UE 2022/2554 del Parlamento europeo e del Consiglio (10) dovrebbe essere considerato un atto +giuridico settoriale dell'Unione in relazione alla presente direttiva per quanto riguarda i soggetti del settore +finanziario. Invece delle disposizioni stabilite nella presente direttiva dovrebbero applicarsi quelle del regolamento +(UE) 2022/2554 relative alle misure di gestione del rischio relativo alle tecnologie dell'informazione e della +comunicazione (TIC), alla gestione degli incidenti relativi alle TIC e, in particolare, alla segnalazione degli incidenti +gravi relativi alle TIC, nonché alle prove di resilienza operativa digitale, agli accordi di condivisione delle +informazioni e ai rischi di terze parti relativi alle TIC. Gli Stati membri non dovrebbero pertanto applicare le +disposizioni della presente direttiva riguardanti gli obblighi di gestione e segnalazione dei rischi di cibersicurezza e +la vigilanza e l'esecuzione ai soggetti finanziari contemplati dal regolamento (UE) 2022/2554 Al tempo stesso è +importante mantenere una solida relazione e lo scambio di informazioni con il settore finanziario a norma della +presente direttiva. A tal fine, il regolamento (UE) 2022/2554 consente alle autorità europee di vigilanza (AEV) e alle +autorità competenti a norma di tale regolamento di partecipare alle attività del gruppo di cooperazione, di scambiare +informazioni e cooperare con i punti di contatto unici, nonché con i CSIRT e le autorità competenti ai sensi della +presente direttiva. Le autorità competenti a norma del regolamento (UE) 2022/2554 dovrebbero inoltre trasmettere + +(10) Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale +per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e +(UE) 2016/1011 (Cfr. pag. 1 della presente Gazzetta ufficiale). + +L 333/86 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +i dettagli degli incidenti più gravi connessi alle TIC e, se del caso, delle minacce informatiche significative ai CSIRT, +alle autorità competenti o ai punti di contatto unici nazionali a norma della presente direttiva. Ciò è possibile +fornendo accesso immediato alle notifiche di incidenti e la loro trasmissione diretta o attraverso un unico punto di +accesso. Gli Stati membri dovrebbero inoltre continuare a includere il settore finanziario nelle loro strategie di +cibersicurezza e i CSIRT nazionali possono contemplare il settore finanziario nelle loro attività. + +(29) + +Al fine di evitare lacune o duplicazioni per quanto riguarda gli obblighi di cibersicurezza imposti ai soggetti del +settore dell'aviazione, le autorità nazionali designate a norma dei regolamenti (CE) n. 300/2008 (11) e +(UE) 2018/1139 (12) del Parlamento europeo e del Consiglio e le autorità competenti a norma della presente +direttiva dovrebbero cooperare in relazione all'attuazione delle misure di gestione dei rischi di cibersicurezza e alla +vigilanza della conformità con tali misure a livello nazionale. La conformità di un soggetto con i requisiti di +sicurezza di cui ai regolamenti (CE) n. 300/2008 e (UE) 2018/1139 e ai pertinenti atti delegati e di esecuzione +adottati a norma di tali regolamenti potrebbe essere considerata dalle autorità competenti ai sensi della presente +direttiva una conformità ai corrispondenti requisiti di cui alla presente direttiva. + +(30) + +In considerazione delle interconnessioni tra la cibersicurezza e la sicurezza fisica dei soggetti, dovrebbe essere +garantito un approccio coerente tra la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio (13) e la +presente direttiva. A tal fine, i soggetti identificati come soggetti critici a norma della direttiva (UE) 2022/2557 +dovrebbero essere considerati soggetti essenziali a norma della presente direttiva. Inoltre, ciascuno Stato membro +dovrebbe provvedere affinché la propria strategia nazionale in materia di cibersicurezza preveda un quadro +strategico per il rafforzamento del coordinamento all'interno di detto Stato membro tra le proprie autorità +competenti a norma della presente direttiva e quelle previste dalla direttiva (UE) 2022/2557 nel contesto della +condivisione delle informazioni sui rischi, sulle minacce informatiche e sugli incidenti nonché sui rischi, sulle +minacce e sugli incidenti non informatici e dello svolgimento di compiti di vigilanza. Le autorità competenti a +norma della presente direttiva e della direttiva (UE) 2022/2557 dovrebbero cooperare e scambiarsi informazioni +senza indebito ritardo, in particolare per quanto riguarda l'individuazione dei soggetti critici, delle minacce +informatiche, dei rischi e degli incidenti nonché per quanto riguarda i rischi, le minacce e gli incidenti non +informatici che interessano i soggetti critici, tra cui le misure di cibersicurezza e fisiche adottate dai soggetti critici +nonché i risultati delle attività di vigilanza svolte riguardo a tali soggetti. + +Inoltre, al fine di razionalizzare le attività di vigilanza tra le autorità competenti a norma della presente direttiva e +della direttiva (UE) 2022/2557 e di ridurre al minimo gli oneri amministrativi per i soggetti interessati, tali autorità +competenti dovrebbero adoperarsi per armonizzare i modelli di notifica degli incidenti e le procedure di vigilanza. +Se del caso, le autorità competenti a norma della direttiva (UE) 2022/2557 dovrebbero poter chiedere alle autorità +competenti ai sensi della presente direttiva di esercitare i propri poteri di vigilanza e di esecuzione in relazione a un +soggetto che è individuato come soggetto critico ai sensi della direttiva (UE) 2022/2557 A tal fine, le autorità +competenti a norma della presente direttiva e della direttiva (UE) 2022/2557 dovrebbero cooperare e scambiarsi +informazioni, ove possibile in tempo reale. + +(31) + +I soggetti appartenenti al settore delle infrastrutture digitali sono essenzialmente basati su sistemi informatici e di rete +e pertanto gli obblighi loro imposti a norma della presente direttiva dovrebbero riguardare in modo globale la +sicurezza fisica di tali sistemi nell'ambito delle loro misure di gestione dei rischi di cibersicurezza e obblighi di +segnalazione. Poiché tali materie sono disciplinate dalla presente direttiva, gli obblighi di cui ai capi III, IV e VI della +direttiva (UE) 2022/2557 non si applicano a detti soggetti. + +(11) Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell'11 marzo 2008, che istituisce norme comuni per la +sicurezza dell'aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72). +(12) Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore +dell'aviazione civile, che istituisce un'Agenzia dell'Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) +n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento +europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il +regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del 22.8.2018, pag. 1). +(13) Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla resilienza dei soggetti critici e che +abroga la direttiva 2008/114/CE (cfr. pag. 164 della presente Gazzetta ufficiale). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/87 + +(32) + +Sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro sono fattori chiave per +mantenere l'integrità di internet e sono essenziali per il suo funzionamento costante e stabile, da cui dipendono +l'economia e la società digitali. La presente direttiva dovrebbe applicarsi ai server dei nomi di dominio di primo +livello (top level domain — TLD) e ai fornitori di servizi DNS che si intendono come soggetti che forniscono servizi di +risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet o ai servizi di +risoluzione autorevoli dei nomi di dominio. La presente direttiva non dovrebbe applicarsi ai server dei nomi radice +(root name server). + +(33) + +I servizi di cloud computing dovrebbero comprendere servizi digitali che consentono l'amministrazione su richiesta +di un pool scalabile ed elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche +quando tali risorse sono distribuite in varie ubicazioni. Le risorse di calcolo comprendono risorse come reti, server +o altre infrastrutture, sistemi operativi, software, archiviazione, applicazioni e servizi. I modelli di servizio del cloud +computing comprendono, tra gli altri, il servizio a livello di infrastruttura (IaaS), il servizio a livello di piattaforma +(PaaS), il servizio a livello di software (SaaS) e il servizio a livello di rete (NaaS). I modelli di distribuzione del cloud +computing dovrebbero comprendere il cloud privato, di comunità, pubblico e ibrido. I servizi di cloud computing e +di distribuzione hanno lo stesso significato dei termini di servizio e dei modelli di distribuzione di cui alla norma +ISO/IEC 17788:2014. La capacità dell'utente di cloud computing di provvedere unilateralmente all'autofornitura di +capacità di calcolo, come il tempo di utilizzo di un server o lo spazio di archiviazione in rete, senza alcuna +interazione umana da parte del fornitore di servizi di cloud computing potrebbe essere descritta come +«amministrazione su richiesta». + +L'espressione «ampio accesso remoto» (broad network access) è utilizzata per descrivere il fatto che le capacità cloud +sono fornite sulla rete e accessibili attraverso meccanismi che promuovono l'uso di piattaforme client eterogenee +leggere o pesanti (compresi telefoni cellulari, tablet, computer portatili e workstation). Il termine «scalabile» si +riferisce alle risorse informatiche che sono assegnate in modo flessibile dal fornitore di servizi nel cloud, +indipendentemente dall'ubicazione geografica delle risorse, per gestire le fluttuazioni della domanda. L'espressione +«pool elastico» è usata per descrivere le risorse di calcolo fornite e rilasciate in base alla domanda, al fine di +aumentare e diminuire rapidamente le risorse disponibili in base al carico di lavoro. Il termine «condivisibile» è +usato per descrivere le risorse di calcolo che sono fornite a una molteplicità di utenti che condividono un accesso +comune al servizio, mentre l'elaborazione è effettuata separatamente per ciascun utente anche se il servizio è fornito +a partire dalla stessa apparecchiatura elettronica. Il termine «distribuito» è usato per descrivere le risorse di calcolo +che si trovano su diversi computer o dispositivi collegati in rete e che comunicano e si coordinano tra di loro +mediante il passaggio di messaggi. + +(34) + +Dato l'emergere di tecnologie innovative e di nuovi modelli di business, si prevede che compariranno sul mercato +interno nuovi modelli di servizio e di distribuzione del cloud computing in risposta all'evoluzione delle esigenze dei +clienti. In tale contesto, i servizi di cloud computing possono essere forniti in una forma altamente distribuita, anche +più vicina al luogo in cui i dati vengono generati o raccolti, passando così dal modello tradizionale a un modello +altamente distribuito (edge computing). + +(35) + +È possibile che i servizi offerti dai fornitori di servizi di data center non siano sempre forniti sotto forma di servizi di +cloud computing. È pertanto possibile che i data center non facciano sempre parte dell'infrastruttura di cloud +computing. Al fine di gestire tutti i rischi posti alla sicurezza dei sistemi informatici e di rete, la presente direttiva +dovrebbe pertanto applicarsi ai fornitori di servizi di data center che non sono servizi di cloud computing. Ai fini +della presente direttiva, il termine «servizio di data center» dovrebbe applicarsi alla fornitura di un servizio che +comprende strutture, o gruppi di strutture, dedicate a ospitare, interconnettere e far funzionare in modo +centralizzato apparecchiature informatiche e di rete che forniscono servizi di conservazione, elaborazione e +trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell'energia e il controllo +ambientale. Il termine «servizio di data center» non si dovrebbe applicare ai data center interni e aziendali posseduti +e gestiti per fini propri dal soggetto interessato. + +(36) + +Le attività di ricerca svolgono un ruolo fondamentale nello sviluppo di nuovi prodotti e processi. Molte di tali attività +sono svolte da soggetti che condividono, diffondono o sfruttano i risultati della loro ricerca per scopi commerciali. +Tali soggetti possono pertanto essere attori importanti nelle catene del valore, il che rende la sicurezza dei loro +sistemi informatici e di rete parte integrante della cibersicurezza globale del mercato interno. Gli organismi di +ricerca dovrebbero essere intesi come soggetti che concentrano la parte essenziale delle loro attività sullo + +L 333/88 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +svolgimento di ricerca applicata o sviluppo sperimentale, ai sensi del Manuale di Frascati 2015 dell'Organizzazione +per la cooperazione e lo sviluppo economici: «Linee guida per la raccolta e la trasmissione di dati sulla ricerca e lo +sviluppo sperimentale», al fine di sfruttarne i risultati a fini commerciali quali la produzione o lo sviluppo di un +prodotto o di un processo, la prestazione di un servizio, o la loro commercializzazione. + +(37) + +Le crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e +interdipendente che utilizza infrastrutture chiave in tutta l'Unione in settori quali quelli dell'energia, dei trasporti, +delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica +amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da +infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, +delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito del suo programma +spaziale. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o +a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga +durata sulla fornitura di servizi in tutto il mercato interno. Gli attacchi informatici intensificatisi durante la pandemia +di COVID-19 hanno mostrato la vulnerabilità di società sempre più interdipendenti di fronte a rischi di bassa +probabilità. + +(38) + +In considerazione delle differenze esistenti tra le strutture di governance nazionali e al fine di salvaguardare gli +accordi settoriali già esistenti o gli organismi di vigilanza e di regolamentazione dell'Unione, è opportuno che gli +Stati membri abbiano la facoltà di designare o istituire una o più autorità nazionali competenti responsabili per la +cibersicurezza e per i compiti di supervisione ai sensi della presente direttiva. + +(39) + +Al fine di agevolare la cooperazione e la comunicazione transfrontaliere tra autorità e permettere che la presente +direttiva sia attuata efficacemente, è necessario che ogni Stato membro designi un punto di contatto unico +nazionale incaricato di coordinare le questioni relative alla sicurezza dei sistemi informatici e di rete e la +cooperazione transfrontaliera a livello dell'Unione. + +(40) + +I punti di contatto unici dovrebbero garantire un'efficace cooperazione transfrontaliera con le autorità competenti di +altri Stati membri e, se del caso, con la Commissione e l'ENISA. I punti di contatto unici dovrebbero pertanto essere +incaricati di trasmettere le notifiche di incidenti significativi con impatto transfrontaliero ai punti di contatto unici +degli altri Stati membri interessati, su richiesta del CSIRT o dell'autorità competente. A livello nazionale, i punti di +contatto unici dovrebbero consentire un'agevole cooperazione intersettoriale con le altre autorità competenti. +I punti di contatto unici potrebbero anche ricevere dalle autorità competenti, a norma del regolamento (UE) 2022/ +2554, le pertinenti informazioni sugli incidenti riguardanti i soggetti del settore finanziario, che essi dovrebbero +poter trasmettere, a seconda dei casi, ai CSIRT o alle autorità competenti a norma della presente direttiva. + +(41) + +Gli Stati membri dovrebbero essere adeguatamente dotati delle capacità tecniche e organizzative necessarie a +prevenire e rilevare gli incidenti e i rischi, nonché a rispondervi e a mitigare il loro impatto. Gli Stati membri +dovrebbero pertanto designare uno o più CSIRT ai sensi della presente direttiva e garantire che essi dispongano di +risorse e capacità tecniche adeguate. I CSIRT dovrebbero rispondere ai requisiti stabiliti nella presente direttiva al +fine di garantire l'esistenza di capacità efficaci e compatibili per far fronte ai rischi e agli incidenti e garantire +un'efficiente collaborazione a livello di Unione. Gli Stati membri dovrebbero poter designare come CSIRT le squadre +di pronto intervento informatico (CERT) esistenti. Al fine di rafforzare il rapporto di fiducia tra i soggetti e i CSIRT, +nei casi in cui un CSIRT faccia parte di un'autorità competente, gli Stati membri dovrebbero poter prendere in +considerazione la separazione funzionale tra i compiti operativi svolti dai CSIRT, in particolare per quanto riguarda +la condivisione delle informazioni e l'assistenza fornita ai soggetti, e le attività di vigilanza delle autorità competenti. + +(42) + +I CSIRT sono incaricati della gestione degli incidenti. Ciò comprende il trattamento di grandi volumi di dati talvolta +sensibili. Gli Stati membri dovrebbero garantire che i CSIRT dispongano di un'infrastruttura per la condivisione e il +trattamento delle informazioni, nonché di personale ben attrezzato, che garantisca la riservatezza e l'affidabilità +delle loro operazioni. I CSIRT potrebbero anche adottare codici di condotta a tale riguardo. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/89 + +(43) + +Per quanto riguarda i dati personali, i CSIRT dovrebbero poter fornire, in conformità del regolamento (UE) +2016/679, su richiesta di un soggetto essenziale o importante, una scansione proattiva dei sistemi informatici e di +rete utilizzati per la fornitura dei servizi del soggetto. Se del caso, gli Stati membri dovrebbero mirare a garantire un +pari livello di capacità tecniche per tutti i CSIRT settoriali. Gli Stati membri dovrebbero poter chiedere l'assistenza +dell'ENISA nello sviluppo di CSIRT nazionali. + +(44) + +I CSIRT dovrebbero avere la capacità, su richiesta di un soggetto essenziale o importante, di monitorare le risorse di +quest'ultimo connesse a internet, sia in loco che a distanza, per identificare, comprendere e gestire i rischi +organizzativi generali del soggetto con riguardo alle compromissioni della catena di approvvigionamento +individuate di recente o le vulnerabilità critiche. Il soggetto dovrebbe essere incoraggiato a comunicare al CSIRT se +gestisce un'interfaccia gestionale privilegiata, poiché ciò potrebbe incidere sulla velocità delle azioni di mitigazione. + +(45) + +Data l'importanza della cooperazione internazionale in materia di cibersicurezza, i CSIRT dovrebbero poter +partecipare a reti di cooperazione internazionale, oltre alla rete di CSIRT istituita dalla presente direttiva. Pertanto, ai +fini dello svolgimento dei loro compiti, i CSIRT e le autorità competenti dovrebbero poter scambiare informazioni, +compresi i dati personali, con team nazionali di risposta agli incidenti per la sicurezza informatica o autorità +competenti di paesi terzi, purché siano soddisfatte le condizioni previste dal diritto dell'Unione in materia di +protezione dei dati per i trasferimenti di dati personali verso paesi terzi, tra cui quelle a norma dell'articolo 49 del +regolamento (UE) 2016/679. + +(46) + +È essenziale garantire risorse adeguate per il conseguimento degli obiettivi della presente direttiva e consentire alle +autorità competenti e ai CSIRT di lo svolgimento dei compiti ivi stabiliti. Gli Stati membri possono introdurre a +livello nazionale un meccanismo di finanziamento per coprire le spese necessarie in relazione allo svolgimento dei +compiti degli enti pubblici responsabili della cibersicurezza nello Stato membro ai sensi della presente direttiva. Tale +meccanismo dovrebbe essere conforme al diritto dell'Unione, essere proporzionato e non discriminatorio e +dovrebbe tenere conto dei diversi approcci nella fornitura di servizi sicuri. + +(47) + +La rete di CSIRT dovrebbe continuare a contribuire al rafforzamento della fiducia e a promuovere una cooperazione +operativa rapida ed efficace fra gli Stati membri. Al fine di rafforzare la cooperazione operativa a livello di Unione, la +rete di CSIRT dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori organismi e +agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali Europol. + +(48) + +Al fine di conseguire e mantenere un livello elevato di cibersicurezza, le strategie nazionali per la cibersicurezza +richieste dalla presente direttiva dovrebbero comprendere quadri coerenti che forniscano obiettivi e priorità +strategici nel settore della cibersicurezza e la governance per conseguirli. Tali strategie possono essere rappresentate +da uno o più strumenti legislativi o non legislativi. + +(49) + +Le politiche di igiene informatica (cyber hygiene) pongono le fondamenta per la protezione delle infrastrutture delle +reti e dei sistemi di informazione, dell'hardware, del software e della sicurezza delle applicazioni online, nonché dei +dati aziendali o degli utenti finali su cui si basano i soggetti. Le politiche di igiene informatica, che comprendono +uno scenario di riferimento comune delle prassi, tra cui gli aggiornamenti del software e dell'hardware, i cambi di +password, la gestione delle nuove installazioni, la limitazione degli account di accesso a livello di amministratore e il +backup dei dati, consentono un quadro proattivo di preparazione e sicurezza e protezione generale in caso di +incidenti o minacce informatiche. L'ENISA dovrebbe monitorare e analizzare le politiche di igiene informatica degli +Stati membri. + +(50) + +La consapevolezza in materia di cibersicurezza e l'igiene informatica sono essenziali per migliorare il livello di +cibersicurezza all'interno dell'Unione, in particolare alla luce del crescente numero di dispositivi connessi sempre +più utilizzati negli attacchi informatici. È opportuno adoperarsi per migliorare la consapevolezza generale dei rischi +connessi a tali dispositivi; al contempo, valutazioni a livello di Unione potrebbero contribuire a garantire una +comprensione comune di tali rischi nel mercato interno. + +L 333/90 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(51) + +Gli Stati membri dovrebbero incoraggiare l'uso di ogni tecnologia innovativa, compresa l'intelligenza artificiale, il cui +utilizzo potrebbe migliorare l'individuazione e la prevenzione degli attacchi informatici, consentendo di destinare in +modo più efficace risorse per affrontare gli attacchi informatici. Gli Stati membri dovrebbero pertanto incoraggiare, +nelle loro strategie nazionali per la cibersicurezza, le attività di ricerca e sviluppo volte a facilitare l'uso di tali +tecnologie, in particolare quelle relative agli strumenti automatizzati o semiautomatizzati nella cibersicurezza, e, se +del caso, la condivisione dei dati necessari per formare gli utenti di tali tecnologie e migliorarle. L'utilizzo di tutte le +tecnologie innovative, compresa l'intelligenza artificiale, dovrebbe rispettare il diritto dell'Unione in materia di +protezione dei dati, compresi i principi di protezione dei dati con riguardo all'accuratezza, alla minimizzazione dei +dati, all'equità e alla trasparenza, nonché alla sicurezza dei dati, come la più recente crittografia. I requisiti di +protezione dei dati fin dalla progettazione e predefiniti di cui al regolamento (UE) 2016/679 dovrebbero essere +pienamente rispettati. + +(52) + +Gli strumenti e le applicazioni di cibersicurezza open source possono contribuire a un livello più elevato di apertura +e avere un impatto positivo sull'efficienza dell'innovazione industriale. Gli standard aperti facilitano l'interoperabilità +tra gli strumenti di sicurezza, a vantaggio della sicurezza dei portatori di interessi industriali. Gli strumenti e le +applicazioni open source in materia di cibersicurezza possono mobilitare la più ampia comunità di sviluppatori, +consentendo la diversificazione dei fornitori. Una fonte aperta può portare a un processo di verifica più trasparente +degli strumenti connessi alla cibersicurezza e a un processo di individuazione delle vulnerabilità guidato dalla +comunità. Gli Stati membri dovrebbero pertanto poter promuovere l'utilizzo di software open source e standard +aperti, perseguendo politiche relative all'uso di dati aperti e open source come parte della sicurezza attraverso la +trasparenza. Le politiche che promuovono l'introduzione e l'uso sostenibile di strumenti di sicurezza informatica +open source rivestono particolare importanza per le piccole e medie imprese che devono sostenere notevoli costi +per l'attuazione, e che potrebbero essere minimizzati riducendo la necessità di applicazioni o strumenti specifici. + +(53) + +I servizi pubblici sono sempre più collegati alle reti digitali nelle città per migliorare le reti di trasporto urbano, +l'approvvigionamento idrico e gli impianti di smaltimento dei rifiuti, nonché aumentare l'efficienza dell'illu­ +minazione e del riscaldamento degli edifici. Tali servizi pubblici digitali sono vulnerabili agli attacchi informatici e +corrono il rischio, in caso di successo di un attacco informatico, di danneggiare i cittadini su larga scala a causa della +loro interconnessione. Gli Stati membri dovrebbero elaborare una politica che affronti lo sviluppo di tali città +connesse o intelligenti, così come i loro potenziali effetti sulla società, nell'ambito della loro strategia nazionale per +la cibersicurezza. + +(54) + +Negli ultimi anni l'Unione ha dovuto far fronte a un aumento esponenziale di attacchi ransomware, in cui i malware +criptano dati e sistemi e chiedono il pagamento di un riscatto per il rilascio. La frequenza e la gravità crescenti degli +attacchi ransomware possono essere determinate da diversi fattori, come i diversi modelli di attacco, i modelli +criminali commerciali che considerano il «ransomware come un servizio» e le criptovalute, le richieste di riscatto e +l'aumento degli attacchi contro la catena di approvvigionamento. Gli Stati membri dovrebbero sviluppare politiche, +come parte delle loro strategie nazionali per la cibersicurezza, che affrontino l'aumento degli attacchi ransomware. + +(55) + +I partenariati pubblico-privato (PPP) nell'ambito della cibersicurezza possono fornire il quadro appropriato per lo +scambio di conoscenze, la condivisione delle migliori pratiche e la creazione di un livello comune di comprensione +tra i portatori di interessi. Gli Stati membri dovrebbero promuovere politiche che sostengano l'istituzione di PPP +specifici della cibersicurezza. Tali politiche dovrebbero chiarire, tra l'altro, l'ambito di applicazione e i portatori di +interessi coinvolti, il modello di governance, le opzioni di finanziamento disponibili e l'interazione tra i portatori di +interessi partecipanti con riguardo ai PPP. I PPP possono sfruttare le competenze dei soggetti del settore privato per +assistere le autorità competenti nello sviluppo di servizi e processi all'avanguardia, compresi, lo scambio di +informazioni, i preallarmi, le esercitazioni su minacce e incidenti informatici, la gestione delle crisi e la +pianificazione della resilienza. + +(56) + +Gli Stati membri dovrebbero, nelle loro strategie nazionali per la cibersicurezza, rispondere alle esigenze specifiche +in materia di cibersicurezza delle piccole e medie imprese. Le piccole e medie imprese rappresentano nell'Unione, +un'ampia percentuale del mercato industriale e commerciale e spesso faticano ad adattarsi alle nuove pratiche +commerciali in un mondo sempre più connesso e all'ambiente digitale, con dipendenti che lavorano da casa e +imprese che sono gestite in misura crescente online. Alcune piccole e medie imprese si confrontano con sfide +specifiche in materia di cibersicurezza, come la scarsa consapevolezza informatica, la mancanza di sicurezza +informatica a distanza, l'elevato costo delle soluzioni di cibersicurezza e l'aumento del livello di minaccia, dovuto ad +esempio ai ransomware, aspetti in relazione ai quali dovrebbero ricevere linee guida e assistenza. Le piccole e medie +imprese stanno diventando sempre di più il bersaglio di attacchi nella catena di approvvigionamento a causa delle +loro misure meno rigorose di gestione del rischio di cibersicurezza e di gestione degli attacchi, nonché della limitata +disponibilità di risorse destinate alla sicurezza. Tali attacchi della catena di approvvigionamento non solo hanno un + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/91 + +impatto sulle piccole e medie imprese e sulle loro operazioni isolatamente, ma possono anche avere un effetto a +cascata su attacchi più gravi nei confronti di soggetti di cui sono fornitori. Gli Stati membri dovrebbero, attraverso +le loro strategie nazionali in materia di cibersicurezza, aiutare le piccole e medie imprese fronteggiare le sfide a cui +sono sottoposte nelle loro catene di approvvigionamento. Gli Stati membri dovrebbero disporre di un punto di +contatto per le piccole e medie imprese a livello nazionale o regionale, che fornisca linee guida e assistenza alle +piccole e medie imprese, o le diriga verso gli organismi appropriati per l'orientamento e l'assistenza in materia di +cibersicurezza. Gli Stati membri sono altresì incoraggiati a offrire servizi come la configurazione e la registrazione +di siti internet, che abilitino le microimprese e le piccole imprese che non dispongono di tali capacità. + +(57) + +Gli Stati membri dovrebbero adottare politiche volte a promuovere la protezione informatica attiva nell'ambito delle +loro strategie nazionali per la cibersicurezza, come parte di una strategia difensiva più ampia. Anziché reagire, la +protezione informatica attiva consiste nel prevenire, individuare, monitorare, analizzare e attenuare in maniera +attiva le violazioni della sicurezza della rete, in combinazione con il ricorso a capacità predisposte all'interno e +all'esterno della rete vittima. Ciò potrebbe includere l'offerta da parte degli Stati membri di servizi o strumenti +gratuiti a determinati soggetti, tra cui controlli self-service, strumenti di rilevamento e servizi di rimozione. La +capacità di condividere e comprendere in modo rapido e automatico informazioni e analisi riguardanti le minacce, +segnalazioni di attività informatiche e azioni di risposta è fondamentale per consentire un'unità di sforzi al fine di +prevenire, individuare, affrontare e bloccare con successo gli attacchi informatici nei confronti dei sistemi +informatici e di rete. La protezione informatica attiva si basa su una strategia difensiva, che esclude misure offensive. + +(58) + +Poiché lo sfruttamento delle vulnerabilità nei sistemi informatici e di rete può causare perturbazioni e danni +significativi, la rapida individuazione e correzione di tali vulnerabilità è un fattore importante per la riduzione dei +rischi. I soggetti che sviluppano o amministrano tali sistemi informatici e di rete dovrebbero pertanto stabilire +procedure adeguate per gestire le vulnerabilità nel momento in cui vengono scoperte. Poiché le vulnerabilità sono +spesso rilevate e divulgate da terzi, il fabbricante o fornitore di prodotti TIC o servizi TIC dovrebbe anche mettere in +atto le procedure necessarie per ricevere informazioni sulla vulnerabilità da terzi. A tale riguardo, le norme +internazionali ISO/IEC 30111 e ISO/IEC 29147 forniscono orientamenti sulla gestione delle vulnerabilità e sulla +divulgazione delle vulnerabilità. Al fine di facilitare il contesto della divulgazione volontaria delle vulnerabilità, è +particolarmente importante rafforzare il coordinamento tra persone fisiche e giuridiche segnalanti e i fabbricanti o +fornitori di prodotti o servizi TIC. La divulgazione coordinata delle vulnerabilità consiste in un processo strutturato +attraverso il quale le vulnerabilità sono segnalate al fabbricante o al fornitore dei prodotti TIC o dei servizi TIC +potenzialmente vulnerabili, in modo tale da consentire loro di diagnosticarle ed eliminarle prima che informazioni +dettagliate in merito siano divulgate a terzi o al pubblico. La divulgazione coordinata delle vulnerabilità dovrebbe +comprendere anche il coordinamento tra la persona fisica o giuridica segnalante e il fabbricante o il fornitore di +prodotti TIC o servizi TIC potenzialmente vulnerabili, per quanto riguarda i tempi per la risoluzione e la +pubblicazione delle vulnerabilità. + +(59) + +La Commissione, l'ENISA e gli Stati membri dovrebbero continuare a promuovere gli allineamenti agli standard +internazionali e alle migliori prassi industriali esistenti nel settore della gestione dei rischi, ad esempio nei settori +delle valutazioni della sicurezza della catena di approvvigionamento, della condivisione delle informazioni e della +divulgazione delle vulnerabilità. + +(60) + +Gli Stati membri, in cooperazione con l'ENISA, dovrebbero adottare misure volte a facilitare la divulgazione +coordinata delle vulnerabilità stabilendo una politica nazionale pertinente. Nell'ambito di tale politica nazionale, gli +Stati membri dovrebbero mirare ad affrontare, nella misura del possibile, le sfide incontrate dagli esperti che fanno +ricerca sulle vulnerabilità, compresa la loro potenziale esposizione alla responsabilità penale, conformemente al +diritto nazionale. Dato che in alcuni Stati membri le persone fisiche e giuridiche che fanno ricerca sulle vulnerabilità +potrebbero essere esposte alla responsabilità penale e civile, gli Stati membri sono incoraggiati ad adottare linee +guida per quanto riguarda la non perseguibilità dei ricercatori in materia di sicurezza delle informazioni e +l'esenzione dalla responsabilità civile per le loro attività. + +(61) + +Gli Stati membri dovrebbero designare un CSIRT come coordinatore, che funga da intermediario di fiducia tra le +persone fisiche o giuridiche segnalanti e i fabbricanti o fornitori di prodotti TIC o servizi TIC suscettibili di essere +interessati dalle vulnerabilità, ove necessario. I compiti del CSIRT designato come coordinatore dovrebbero +comprendere in particolare l'individuazione e il contatto dei soggetti interessati, l'assistenza alle persone fisiche o +giuridiche che segnalano una vulnerabilità, la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità + +L 333/92 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +che interessano più soggetti (divulgazione multilaterale coordinata di vulnerabilità). Qualora la vulnerabilità +segnalata possa avere un impatto significativo su soggetti in più di uno Stato membro, i CSIRT designati come +coordinatori dovrebbero cooperare nell'ambito della rete CSIRT, se del caso. + +(62) + +L'accesso a informazioni corrette e tempestive sulle vulnerabilità che interessano i prodotti TIC e i servizi TIC +contribuisce a una migliore gestione dei rischi di cibersicurezza. Le fonti di informazioni pubblicamente disponibili +sulle vulnerabilità sono uno strumento importante per i soggetti e gli utenti dei loro servizi, ma anche per le +autorità competenti e i CSIRT. Per tale motivo l'ENISA dovrebbe istituire una banca dati europea delle vulnerabilità +in cui i soggetti, indipendentemente dal fatto che rientrino o meno nell'ambito di applicazione della presente +direttiva, e i loro fornitori di sistemi informatici e di rete, così come le autorità competenti e i CSIRT, possano, su +base volontaria, divulgare le vulnerabilità e fornire informazioni su di esse che consentano agli utenti di adottare +adeguate misure di attenuazione. Lo scopo di tale banca dati è far fronte alle sfide uniche poste dai rischi per i +soggetti unionali. Inoltre, l'ENISA dovrebbe istituire una procedura adeguata relativamente al processo di +pubblicazione, al fine di dare ai soggetti il tempo di adottare misure di attenuazione per quanto riguarda le loro +vulnerabilità e utilizzare le più avanzate misure di gestione dei rischi sulla cibersicurezza, nonché le serie di dati +leggibili meccanicamente e le corrispondenti interfacce. Per incoraggiare una cultura della divulgazione delle +vulnerabilità, la divulgazione non dovrebbe andare a scapito della persona fisica o giuridica segnalante. + +(63) + +Sebbene simili registri o banche dati delle vulnerabilità esistano già, questi sono ospitati e mantenuti da soggetti non +stabiliti nell'Unione. Una banca dati europea delle vulnerabilità mantenuta dall'ENISA garantirebbe una maggiore +trasparenza, per quanto riguarda la procedura di pubblicazione prima della divulgazione al pubblico della +vulnerabilità, e resilienza in caso di perturbazioni o interruzioni nella fornitura di servizi analoghi. Per evitare la +duplicazione degli sforzi e perseguire, nella misura del possibile, la complementarità, l'ENISA dovrebbe valutare la +possibilità di concludere accordi di cooperazione strutturata con registri simili o banche dati di competenza di +giurisdizioni di paesi terzi. In particolare, l'ENISA dovrebbe valutare la possibilità di una stretta cooperazione con gli +operatori del sistema delle vulnerabilità e delle esposizioni comuni (CVE). + +(64) + +Il gruppo di cooperazione dovrebbe sostenere e agevolare la cooperazione strategica e lo scambio di informazioni, +come anche rafforzare la fiducia tra gli Stati membri. Il gruppo di cooperazione dovrebbe stabilire un programma di +lavoro ogni due anni. Il programma di lavoro dovrebbe comprendere le azioni che il gruppo di cooperazione deve +intraprendere per attuare i suoi obiettivi e compiti. Il calendario per la definizione del primo programma di lavoro +adottato a norma della presente direttiva dovrebbe essere allineato a quello dell'ultimo programma di lavoro +definito a norma della direttiva (UE) 2016/1148, al fine di evitare eventuali perturbazioni nel lavoro del gruppo di +cooperazione. + +(65) + +Nello sviluppo delle linee guida, il gruppo di cooperazione dovrebbe coerentemente mappare le soluzioni e le +esperienze nazionali, valutare l'impatto dei risultati del gruppo di cooperazione per quanto riguarda gli approcci +nazionali, discutere le sfide in materia di attuazione e formulare raccomandazioni specifiche, in particolare per +quanto riguarda l'agevolazione di un allineamento nel recepimento della presente direttiva tra gli Stati membri, da +realizzare attraverso una migliore attuazione delle norme esistenti. Il gruppo di cooperazione potrebbe anche +mappare le soluzioni nazionali al fine di promuovere la compatibilità delle soluzioni di cibersicurezza applicate a +ciascun settore specifico in tutta l'Unione. Ciò è particolarmente pertinente per i settori che hanno natura +internazionale e transfrontaliera. + +(66) + +Il gruppo di cooperazione dovrebbe rimanere un forum flessibile ed essere in grado di reagire alle nuove e mutevoli +priorità strategiche e alle sfide, tenendo conto nel contempo della disponibilità di risorse. Esso potrebbe organizzare +riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per discutere +le attività svolte dal gruppo di cooperazione e raccogliere dati e contributi sulle sfide strategiche emergenti. Inoltre, il +gruppo di cooperazione dovrebbe effettuare una valutazione periodica dello stato di avanzamento delle minacce o +degli incidenti informatici, come il ransomware. Al fine di rafforzare la cooperazione a livello di Unione, il gruppo +di cooperazione dovrebbe prendere in considerazione la possibilità di invitare a partecipare ai suoi lavori le + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/93 + +pertinenti istituzioni, organismi e agenzie dell'Unione coinvolti nella politica in materia di cibersicurezza, quali il +Parlamento europeo, Europol, il Comitato europeo per la protezione dei dati, l'Agenzia dell'Unione europea per la +sicurezza aerea, istituita con il regolamento (UE) 2018/1139 e l'Agenzia dell'Unione europea per il programma +spaziale, istituita con il regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio (14). + +(67) + +Le autorità competenti e i CSIRT dovrebbero poter partecipare a programmi di scambio per funzionari di altri Stati +membri, nell'ambito di un quadro specifico e, se del caso, previo il nulla osta di sicurezza necessario per i funzionari +che partecipano a tali programmi di scambio, al fine di migliorare la cooperazione e rafforzare la fiducia tra gli Stati +membri. Le autorità competenti dovrebbero adottare le misure necessarie per consentire a funzionari di altri Stati +membri di svolgere un ruolo efficace nelle attività dell'autorità competente ospitante o del CSIRT ospitante. + +(68) + +Gli Stati membri dovrebbero contribuire all'istituzione del quadro di risposta alle crisi di cibersicurezza dell'UE, di +cui alla raccomandazione (UE) 2017/1584 della Commissione (15), attraverso le reti di cooperazione esistenti, in +particolare la rete europea di collegamento per le crisi informatiche (EU-CyCLONe), la rete di CSIRT e il gruppo di +cooperazione. EU-CyCLONe e la rete di CSIRT dovrebbero cooperare sulla base di disposizioni procedurali che +specifichino i dettagli di tale cooperazione ed evitare duplicazioni dei compiti. Il regolamento interno di +EU-CyCLONe dovrebbe specificare ulteriormente i meccanismi di funzionamento della rete, compresi i ruoli, i +mezzi di cooperazione, le interazioni con altri attori pertinenti e i modelli per la condivisione delle informazioni, +nonché i mezzi di comunicazione. Per la gestione delle crisi a livello dell'Unione, le parti pertinenti dovrebbero +affidarsi ai dispositivi integrati dell'UE per la risposta politica alle crisi nel quadro della decisione di esecuzione (UE) +2018/1993 del Consiglio (16) (dispositivi IPCR). A tal fine la Commissione dovrebbe far ricorso al processo di +coordinamento intersettoriale delle crisi ad alto livello del sistema ARGUS. Se la crisi implica un'importante +dimensione esterna o una forte correlazione con la politica di sicurezza e di difesa comune dovrebbe essere attivato +il meccanismo di risposta alle crisi del servizio europeo per l'azione esterna. + +(69) + +Conformemente all'allegato della raccomandazione (UE) 2017/1584, per incidente di cibersicurezza su vasta scala si +intende un incidente di cibersicurezza che causa un livello di perturbazione superiore alla capacità di uno Stato +membro di rispondervi, o che ha un impatto significativo su almeno due Stati membri. A seconda della loro causa e +del loro impatto, gli incidenti di cibersicurezza su vasta scala possono aggravarsi e trasformarsi in vere e proprie crisi +che non consentono il corretto funzionamento del mercato interno, o che comportano gravi rischi di pubblica +sicurezza in diversi Stati membri o nell'intera Unione. Data l'ampia portata e, nella maggior parte dei casi, la natura +transfrontaliera di tali incidenti, gli Stati membri e le istituzioni, gli organismi e le agenzie pertinenti dell'Unione +dovrebbero cooperare a livello tecnico, operativo e politico per coordinare adeguatamente la risposta in tutta +l'Unione. + +(70) + +Gli incidenti e le crisi di cibersicurezza su vasta scala a livello dell'Unione richiedono un'azione coordinata per +garantire una risposta rapida ed efficace, a causa dell'elevato grado di interdipendenza tra settori e Stati membri. La +disponibilità di sistemi informatici e di rete ciberresilienti e la disponibilità, la riservatezza e l'integrità dei dati sono +essenziali per la sicurezza dell'Unione e per la protezione dei suoi cittadini, delle sue imprese e delle sue istituzioni +da incidenti e minacce informatiche, nonché per rafforzare la fiducia delle persone e delle organizzazioni nella +capacità dell'Unione di promuovere e proteggere un ciberspazio globale, aperto, libero, stabile e sicuro basato sui +diritti umani, le libertà fondamentali, la democrazia e lo Stato di diritto. + +(14) Regolamento (UE) 2021/696 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma spaziale +dell'Unione e l'Agenzia dell'Unione europea per il programma spaziale e che abroga i regolamenti (UE) n. 912/2010, (UE) +n. 1285/2013 e (UE) n. 377/2014 e la decisione n. 541/2014/UE (GU L 170 del 12.5.2021, pag. 69). +(15) Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle +crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36). +(16) Decisione di esecuzione (UE) 2018/1993 del Consiglio, dell'11 dicembre 2018, relativa ai dispositivi integrati dell'UE per la risposta +politica alle crisi (GU L 320 del 17.12.2018, pag. 28). + +L 333/94 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(71) + +EU-CyCLONe dovrebbe fungere da intermediario tra il livello tecnico e politico durante gli incidenti e le crisi di +cibersicurezza su vasta scala e dovrebbe rafforzare la cooperazione a livello operativo e sostenere il processo +decisionale a livello politico. In cooperazione con la Commissione, tenuto conto della competenza di quest'ultima +nel settore della gestione delle crisi, EU-CyCLONe dovrebbe basarsi sui risultati della rete di CSIRT e utilizzare le +proprie capacità per elaborare analisi d'impatto di incidenti e crisi di cibersicurezza su vasta scala. + +(72) + +Gli attacchi informatici sono di natura transfrontaliera e un incidente significativo può perturbare e danneggiare le +infrastrutture informatiche critiche da cui dipende il corretto funzionamento del mercato interno. La +raccomandazione (UE) 2017/1584 tratta il ruolo di tutti i soggetti interessati. Inoltre, la Commissione è +responsabile, nel quadro del meccanismo unionale di protezione civile istituito dalla decisione n. 1313/2013/UE del +Parlamento europeo e del Consiglio (17), delle azioni di preparazione generali, che comprendono la gestione del +Centro di coordinamento della risposta alle emergenze e del sistema comune di comunicazione e di informazione +in caso di emergenza, il mantenimento e l'ulteriore sviluppo della consapevolezza situazionale e delle capacità di +analisi, nonché la predisposizione e la gestione della capacità di mobilitare e inviare squadre di esperti in caso di +richiesta di assistenza da parte di uno Stato membro o di un paese terzo. La Commissione è inoltre responsabile di +fornire relazioni analitiche per i dispositivi IPCR nel quadro della decisione di esecuzione (UE) 2018/1993, anche in +relazione alla consapevolezza situazionale e alla preparazione in materia di cibersicurezza, come anche per la +consapevolezza situazionale e la risposta alle crisi nei settori dell'agricoltura, delle condizioni meteorologiche +avverse, della mappatura e delle previsioni dei conflitti, dei sistemi di allarme rapido in caso di catastrofi naturali, +delle emergenze sanitarie, della sorveglianza delle malattie infettive, della salute delle piante, degli incidenti chimici, +della sicurezza di alimenti e mangimi, della salute degli animali, della migrazione, delle dogane, delle emergenze +radiologiche e nucleari, e dell'energia. + +(73) + +Ove opportuno, l'Unione può concludere accordi internazionali, in conformità all'articolo 218 TFUE, con paesi terzi +o organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad attività particolari del +gruppo di cooperazione, della rete di CSIRT e di EU-CyCLONe. Tali accordi dovrebbero garantire gli interessi +dell'Unione e un'adeguata protezione dei dati. Ciò non dovrebbe escludere il diritto degli Stati membri di cooperare +con paesi terzi sulla gestione delle vulnerabilità e la gestione dei rischi di cibersicurezza, agevolando la segnalazione +e la condivisione delle informazioni generali in conformità al diritto dell'Unione. + +(74) + +Al fine di facilitare l'effettiva attuazione della presente direttiva per quanto riguarda, tra l'altro, la gestione delle +vulnerabilità, le misure di gestione dei rischi di cibersicurezza, gli obblighi di segnalazione e gli accordi di +condivisione delle informazioni relative alla cibersicurezza, gli Stati membri possono cooperare con i paesi terzi e +intraprendere attività ritenute appropriate a tal fine, tra cui scambi di informazioni relative a minacce informatiche, +incidenti, vulnerabilità, strumenti e metodi, tattiche, tecniche e procedure, preparazione ed esercitazioni in materia +di gestione delle crisi informatiche, formazioni, instaurazione di un clima di fiducia e accordi strutturati di +condivisione delle informazioni. + +(75) + +Dovrebbero essere introdotte revisioni tra pari per contribuire a trarre insegnamenti dalle esperienze condivise, +rafforzare la fiducia reciproca e conseguire un livello comune elevato di cibersicurezza. Le revisioni tra pari possono +portare a idee e raccomandazioni preziose che rafforzano le capacità globali in materia di cibersicurezza, creando un +altro percorso funzionale per la condivisione delle migliori pratiche tra gli Stati membri e contribuendo a migliorare +i livelli di maturità degli Stati membri in materia di cibersicurezza. Inoltre, le revisioni tra pari dovrebbero tenere +conto dei risultati di meccanismi analoghi, come il sistema di revisione tra pari della rete di CSIRT e dovrebbero +apportare un valore aggiunto ed evitare duplicazioni. L'attuazione delle revisioni tra pari dovrebbe lasciare +impregiudicato il diritto dell’Unione o nazionale in materia di protezione delle informazioni riservate o classificate. + +(76) + +Il gruppo di cooperazione dovrebbe stabilire una metodologia di autovalutazione per gli Stati membri, al fine di +coprire fattori quali il livello di attuazione delle misure di gestione dei rischi di cibersicurezza e degli obblighi di +segnalazione, il livello di capacità e l'efficacia dell'esercizio dei compiti delle autorità competenti, le capacità +operative dei CSIRT, il livello di attuazione dell'assistenza reciproca, il livello di attuazione degli accordi di +condivisione delle informazioni in materia di cibersicurezza o questioni specifiche di natura transfrontaliera o +intersettoriale. Gli Stati membri dovrebbero essere incoraggiati ad effettuare autovalutazioni su base regolare e a +presentare e discutere i risultati della loro autovalutazione nell'ambito del gruppo di cooperazione. + +(17) Decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di +protezione civile (GU L 347 del 20.12.2013, pag. 924). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/95 + +(77) + +La responsabilità di garantire la sicurezza dei sistemi informatici e di rete incombe in larga misura a soggetti +essenziali e importanti. È opportuno promuovere e sviluppare una cultura della gestione dei rischi, che comprenda +valutazioni dei rischi e l'attuazione di misure di gestione dei rischi di cibersicurezza adeguate ai rischi esistenti. + +(78) + +Le misure di gestione dei rischi dovrebbero tenere conto del grado di dipendenza del soggetto essenziale o +importante dai sistemi informatici e di rete e comprendere misure per individuare eventuali rischi di incidenti, per +prevenire e rilevare incidenti, nonché per rispondervi, riprendersi da essi e attenuarne l'impatto. La sicurezza dei +sistemi informatici e di rete dovrebbe comprendere la sicurezza dei dati conservati, trasmessi e elaborati. Le misure +di gestione dei rischi di cibersicurezza dovrebbero prevedere un'analisi sistemica, tenendo conto del fattore umano, +onde avere un quadro completo della sicurezza del sistema informatico e di rete. + +(79) + +Poiché le minacce alla sicurezza dei sistemi informatici e di rete possono avere origini diverse, le misure di gestione +dei rischi di cibersicurezza dovrebbero essere basate su un approccio multirischio mirante a proteggere i sistemi +informatici e di rete e il loro ambiente fisico da eventi quali furti, incendi, inondazioni, problemi di +telecomunicazione o interruzioni di corrente, o da qualsiasi accesso fisico non autorizzato nonché dai danni alle +informazioni detenute dai soggetti essenziali o importanti e agli impianti di trattamento delle informazioni di questi +ultimi e dalle interferenze con tali informazioni o impianti che possano compromettere la disponibilità, l'autenticità, +l'integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di +rete o accessibili attraverso di essi. Le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare +anche la sicurezza fisica e dell'ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti +sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e +internazionali, come quelle di cui alla serie ISO/IEC 27000. A tale riguardo, i soggetti essenziali e importanti +dovrebbero altresì, nell'ambito delle loro misure di gestione dei rischi di cibersicurezza, affrontare la questione della +sicurezza delle risorse umane e disporre di strategie adeguate di controllo dell'accesso. Tali misure dovrebbero essere +coerenti con la direttiva (UE) 2022/2557. + +(80) + +Al fine di dimostrare la conformità alle misure di gestione dei rischi di cibersicurezza e in mancanza di adeguati +sistemi europei di certificazione della cibersicurezza adottati a norma del regolamento (UE) 2019/881 del +Parlamento europeo e del Consiglio (18), gli Stati membri, in consultazione del gruppo di cooperazione e del gruppo +europeo per la certificazione della cibersicurezza, dovrebbero promuovere l'uso delle pertinenti norme europee e +internazionali da parte dei soggetti essenziali e importanti o possono imporre a questi ultimi di utilizzare +prodotti TIC, servizi TIC e processi TIC certificati. + +(81) + +Per evitare di imporre un onere finanziario e amministrativo sproporzionato ai soggetti essenziali e importanti, le +misure di gestione dei rischi di cibersicurezza dovrebbero essere proporzionate ai rischi posti al sistema informatico +e di rete interessato, tenendo conto dello stato dell'arte di tali misure e, se del caso, di pertinenti norme europee e +internazionali, come anche dei relativi costi di attuazione. + +(82) + +Le misure di gestione dei rischi di cibersicurezza dovrebbero essere proporzionate al grado di esposizione del +soggetto essenziali o importanti ai rischi e all'impatto sociale ed economico che un incidente avrebbe. Nel definire +misure di gestione dei rischi di cibersicurezza adattate ai soggetti essenziali e importanti, è opportuno tenere +debitamente conto dell'esposizione al rischio divergente dei soggetti essenziali e importanti, quali la criticità del +soggetto, i rischi, compresi i rischi sociali, cui è esposto, le dimensioni del soggetto e la probabilità del verificarsi di +incidenti e la loro gravità, compreso il loro impatto sociale ed economico. + +(18) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione +europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e +che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del 7.6.2019, pag. 15). + +L 333/96 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(83) + +I soggetti essenziali e importanti dovrebbero garantire la sicurezza dei sistemi informatici e di rete che utilizzano +nelle loro attività. Si tratta in particolare di sistemi informatici e di rete privati gestiti dal personale informatico +interno dei soggetti essenziali e importanti oppure la cui sicurezza sia stata esternalizzata. Le misure di gestione e gli +obblighi di segnalazione dei rischi di cibersicurezza stabiliti nella presente direttiva dovrebbero applicarsi ai +pertinenti soggetti essenziali e importanti indipendentemente dal fatto che tali soggetti effettuino internamente la +manutenzione dei loro sistemi informatici e di rete o che la esternalizzino. + +(84) + +Tenuto conto della loro natura transfrontaliera, i fornitori di servizi DNS, i registri dei nomi di dominio di primo +livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione +dei contenuti, i fornitori di servizi gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di +servizi di social network, e i fornitori di servizi di sicurezza gestiti e i prestatori di servizi fiduciari dovrebbero essere +soggetti a un elevato livello di armonizzazione a livello dell'Unione. L'attuazione delle misure di gestione del rischio +di cibersicurezza con riguardo a tali soggetti dovrebbe pertanto essere agevolata da un atto di esecuzione. + +(85) + +Affrontare i rischi derivanti dalla catena di approvvigionamento di un soggetto e dalla sua relazione con i fornitori, +ad esempio i fornitori di servizi di conservazione ed elaborazione dei dati o di servizi di sicurezza gestiti e gli editori +di software, è particolarmente importante data la prevalenza di incidenti in cui i soggetti sono stati vittime di attacchi +informatici e in cui i responsabili di atti malevoli sono stati in grado di compromettere la sicurezza dei sistemi +informatici e di rete di un soggetto sfruttando le vulnerabilità che interessano prodotti e servizi di terzi. I soggetti +essenziali e importanti dovrebbero pertanto valutare e tenere in considerazione la qualità e la resilienza complessive +dei prodotti e dei servizi, delle misure di gestione dei rischi di cibersicurezza in essi integrate e delle pratiche di +cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. In particolare, i +soggetti essenziali e importanti dovrebbero essere incoraggiati a integrare misure di gestione dei rischi di +cibersicurezza negli accordi contrattuali con i loro fornitori e fornitori di servizi diretti. Tali soggetti potrebbero +prendere in considerazione i rischi derivanti da altri livelli di fornitori e fornitori di servizi. + +(86) + +Tra i fornitori di servizi, i fornitori di servizi di sicurezza gestiti in settori quali la risposta agli incidenti, i test di +penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere i +soggetti nei loro sforzi per la prevenzione e il rilevamento degli incidenti, la risposta agli stessi o la ripresa da essi. I +fornitori di servizi di sicurezza gestiti sono stati tuttavia essi stessi bersaglio di attacchi informatici e, a causa della +loro stretta integrazione nelle attività dei soggetti, presentano un particolare rischio. I soggetti essenziali e +importanti dovrebbero pertanto esercitare una maggiore diligenza nella selezione di un fornitore di servizi di +sicurezza gestiti. + +(87) + +Nell'ambito dei loro compiti di vigilanza, le autorità competenti possono inoltre beneficiare di servizi di +cibersicurezza quali gli audit sulla sicurezza, i test di penetrazione o la risposta agli incidenti. + +(88) + +I soggetti essenziali e importanti dovrebbero inoltre affrontare i rischi derivanti dalle loro interazioni e relazioni con +altri portatori di interessi nell'ambito di un ecosistema più ampio, anche per quanto riguarda la lotta contro lo +spionaggio industriale e la tutela dei segreti commerciali. In particolare, tali soggetti dovrebbero adottare misure +adeguate per garantire che la loro cooperazione con gli istituti accademici e di ricerca avvenga in linea con le loro +politiche in materia di cibersicurezza e segua le buone pratiche per quanto riguarda l'accesso sicuro e la diffusione +delle informazioni in generale e la tutela della proprietà intellettuale in particolare. Analogamente, data l'importanza +e il valore dei dati per le attività dei soggetti essenziali e importanti, tali soggetti dovrebbero adottare tutte le +opportune misure di gestione dei rischi di cibersicurezza quando si affidano ai servizi di trasformazione e analisi dei +dati forniti da terzi. + +(89) + +I soggetti essenziali e importanti dovrebbero adottare un'ampia gamma di pratiche di igiene informatica di base quali +principi zero trust, aggiornamenti del software, configurazione dei dispositivi, segmentazione della rete, gestione +dell'identità e dell'accesso o sensibilizzazione degli utenti, organizzare per il loro personale una formazione e +sensibilizzarlo alle minacce informatiche, al phishing o alle tecniche di ingegneria sociale. Inoltre, tali soggetti +dovrebbero valutare le loro capacità di cibersicurezza e, se del caso, perseguire l'integrazione di tecnologie per il +rafforzamento della cibersicurezza quali l'intelligenza artificiale o i sistemi di apprendimento automatico, per +migliorare le loro capacità e la sicurezza dei sistemi informatici e di rete. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/97 + +(90) + +Per affrontare ulteriormente i principali rischi relativi alla catena di approvvigionamento e aiutare i soggetti essenziali +e importanti che operano nei settori disciplinati dalla presente direttiva a gestire adeguatamente i rischi connessi alla +catena di approvvigionamento e ai fornitori, il gruppo di cooperazione, in cooperazione con la Commissione e +l'ENISA e, se del caso, previa consultazione dei pertinenti portatori di interessi compresi quelli del settore, dovrebbe +effettuare valutazioni coordinate dei rischi per la sicurezza di catene di approvvigionamento critiche, come è +avvenuto per le reti 5G in seguito alla raccomandazione (UE) 2019/534 della Commissione (19), al fine di +individuare, per settore, i servizi TIC, i sistemi TIC o i prodotti TIC critici e le minacce e le vulnerabilità pertinenti. +Dette valutazioni coordinate dei rischi per la sicurezza dovrebbero individuare le misure, i piani di attenuazione e le +migliori pratiche per contrastare le dipendenze critiche, i potenziali singoli punti di vulnerabilità, le minacce, le +vulnerabilità e gli altri rischi associati alla catena di approvvigionamento, ed esplorare modalità per incoraggiare +ulteriormente una loro più ampia adozione da parte dei soggetti essenziali e importanti. I potenziali fattori di +rischio non tecnici, come l'indebita influenza di un paese terzo sui fornitori e i fornitori di servizi, in particolare nel +caso di modelli alternativi di governance, includono vulnerabilità nascoste o backdoor e potenziali turbative +sistemiche dell'approvvigionamento, segnatamente in caso di lock-in tecnologico o di dipendenza dal fornitore. + +(91) + +Le valutazioni coordinate dei rischi per la sicurezza di catene di approvvigionamento critiche, alla luce delle +caratteristiche del settore interessato, dovrebbero tenere conto dei fattori tecnici e, se opportuno, non tecnici, +compresi quelli definiti nella raccomandazione (UE) 2019/534, nella valutazione dei rischi coordinata dell'UE della +cibersicurezza delle reti 5G e nel pacchetto di strumenti dell'UE sulla cibersicurezza del 5G concordato dal gruppo +di cooperazione. Per individuare le catene di approvvigionamento che dovrebbero essere soggette a una valutazione +coordinata dei rischi per la sicurezza, dovrebbero essere presi in considerazione i seguenti criteri: i) la misura in cui i +soggetti essenziali e importanti ricorrono e si affidano a specifici servizi TIC, sistemi TIC o prodotti TIC critici; ii) la +pertinenza di specifici servizi TIC, sistemi TIC o prodotti TIC critici per lo svolgimento di funzioni critiche o +sensibili, compreso il trattamento dei dati personali; iii) la disponibilità di servizi TIC, sistemi TIC o prodotti TIC +alternativi; iv) la resilienza dell'intera catena di approvvigionamento di servizi TIC, sistemi TIC o prodotti TIC, +durante tutto il loro ciclo di vita, contro eventi perturbatori e v) per i servizi TIC, sistemi TIC o prodotti TIC +emergenti, la loro potenziale importanza futura per le attività dei soggetti. Inoltre, si dovrebbe porre un accento +particolare sui servizi TIC, i sistemi TIC o i prodotti TIC che sono soggetti a requisiti specifici derivanti da paesi terzi. + +(92) + +Al fine di semplificare gli obblighi imposti ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di +comunicazione elettronica accessibili al pubblico e ai prestatori di servizi fiduciari relativi alla sicurezza dei loro +sistemi informatici e di rete, nonché di consentire a tali soggetti e alle autorità competenti ai sensi, rispettivamente, +della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio (20) e del regolamento (UE) n. 910/2014 di +beneficiare del quadro giuridico istituito dalla presente direttiva, comprese la designazione di un CSIRT responsabile +della gestione degli incidenti, la partecipazione delle autorità competenti interessate alle attività del gruppo di +cooperazione e della rete di CSIRT, tali soggetti dovrebbero rientrare nell'ambito di applicazione della presente +direttiva. Le corrispondenti disposizioni stabilite nel regolamento (UE) n. 910/2014 e nella direttiva (UE) +2018/1972 relative all'imposizione di obblighi di sicurezza e notifica a queste tipologie di soggetti dovrebbero +pertanto essere soppresse. Le norme relative agli obblighi di segnalazione stabilite nella presente direttiva +dovrebbero lasciare impregiudicati il regolamento (UE) 2016/679 e la direttiva 2002/58/CE. + +(93) + +Gli obblighi in materia di cibersicurezza stabiliti nella presente direttiva dovrebbero essere considerati +complementari ai requisiti imposti ai prestatori di servizi fiduciari ai sensi del regolamento (UE) n. 910/2014. È +opportuno chiedere ai prestatori di servizi fiduciari di adottare tutte le misure adeguate e proporzionate per gestire i +rischi posti ai loro servizi, anche in relazione ai clienti e ai terzi che vi fanno affidamento, nonché di segnalare gli +incidenti a norma della presente direttiva. Tali obblighi in materia di cibersicurezza e segnalazione dovrebbero +riguardare anche la protezione fisica dei servizi forniti. I requisiti per i prestatori di servizi fiduciari qualificati +stabiliti all'articolo 24 del regolamento (UE) n. 910/2014 continuano ad applicarsi. + +(19) Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, +pag. 42). +(20) Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, che istituisce il codice europeo delle +comunicazioni elettroniche (GU L 321 del 17.12.2018, pag. 36). + +L 333/98 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(94) + +Gli Stati membri possono conferire il ruolo di autorità competenti per i servizi fiduciari agli organismi di vigilanza a +norma del regolamento (UE) n. 910/2014 al fine di garantire la prosecuzione delle pratiche attuali e di sfruttare le +conoscenze e l'esperienza acquisite con l'applicazione di detto regolamento. In tal caso, le autorità competenti a +norma della presente direttiva dovrebbero cooperare strettamente e in modo tempestivo con tali organismi di +vigilanza scambiando le informazioni pertinenti al fine di assicurare l'efficace vigilanza dei prestatori di servizi +fiduciari nonché l'effettivo rispetto, da parte di questi ultimi, delle prescrizioni stabilite nella presente direttiva e nel +regolamento (UE) n. 910/2014. Se del caso, il CSIRT o l'autorità competente a norma della presente direttiva +dovrebbero informare immediatamente l'organismo di vigilanza a norma del regolamento (UE) n. 910/2014 di +qualunque minaccia informatica o incidente significativi notificati aventi un impatto sui servizi fiduciari nonché di +qualunque violazione, da parte di un prestatore di servizi fiduciari, della presente direttiva. Ai fini della +segnalazione, gli Stati membri possono, se del caso, utilizzare il punto di ingresso unico stabilito per effettuare +segnalazioni comuni e automatiche di incidenti destinate sia all'organismo di vigilanza a norma del regolamento (UE) +n. 910/2014 sia al CSIRT o all'autorità competente a norma della presente direttiva. + +(95) + +Se opportuno e per evitare inutili perturbazioni, gli orientamenti nazionali esistenti adottati per il recepimento delle +norme relative alle misure di sicurezza di cui agli articoli 40 e 41 della direttiva (UE) 2018/1972 dovrebbero essere +presi in considerazione nel recepimento della presente direttiva, basandosi quindi sulle conoscenze e competenze +già acquisite nell'ambito della direttiva (UE) 2018/1972 per quanto riguarda le misure di sicurezza e le notifiche +degli incidenti. L'ENISA può inoltre elaborare orientamenti sui requisiti di sicurezza e sugli obblighi di segnalazione +per i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al +pubblico al fine di facilitare l'armonizzazione e la transizione e di ridurre al minimo le perturbazioni. Gli Stati +membri possono conferire il ruolo di autorità competenti per le comunicazioni elettroniche alle autorità nazionali +di regolamentazione ai sensi della direttiva (UE) 2018/1972 al fine di garantire la prosecuzione delle pratiche attuali +e di sfruttare le conoscenze e l'esperienza acquisite a seguito con l'attuazione di tale direttiva. + +(96) + +Vista la crescente importanza dei servizi di comunicazione interpersonale indipendenti dal numero quali definiti +nella direttiva (UE) 2018/1972, è necessario assicurare che anche tali servizi siano soggetti ad adeguati requisiti di +sicurezza in considerazione della loro specificità e della loro rilevanza economica. Dal momento che la superficie di +attacco continua ad ampliarsi, i servizi di comunicazione interpersonale indipendenti dal numero, come i servizi di +messaggistica, stanno diventando vettori di attacco diffusi. I responsabili di atti malevoli utilizzano piattaforme per +comunicare e indurre le vittime ad aprire pagine web compromesse, aumentando così la probabilità di incidenti che +interessano lo sfruttamento dei dati personali e, per estensione, la sicurezza dei sistemi informatici e di rete. +I fornitori di servizi di comunicazione interpersonale indipendenti dal numero dovrebbero garantire un livello di +sicurezza dei sistemi informatici e di rete adeguato ai rischi esistenti. Dato che i fornitori di servizi di comunicazione +interpersonale indipendenti dal numero solitamente non esercitano un controllo effettivo sulla trasmissione dei +segnali sulle reti, il grado di rischio per tali servizi può essere considerato, per certi aspetti, inferiore a quello dei +servizi di comunicazione elettronica tradizionali. Lo stesso vale per i servizi di comunicazione interpersonale quali +definiti nella direttiva (UE) 2018/1972 che utilizzano numeri e che non esercitano un controllo effettivo sulla +trasmissione dei segnali. + +(97) + +Il mercato interno dipende più che mai dal funzionamento di internet. I servizi di quasi tutti i soggetti essenziali e +importanti dipendono dai servizi forniti via internet. Al fine di garantire l'erogazione senza intoppi dei servizi +forniti dai soggetti essenziali e importanti, è fondamentale che tutti i fornitori di reti pubbliche di comunicazione +elettronica dispongano di adeguate misure di gestione dei rischi di cibersicurezza e segnalino gli incidenti +significativi connessi. Gli Stati membri dovrebbero garantire il mantenimento della sicurezza delle reti pubbliche di +comunicazione elettronica e la protezione dei loro interessi vitali in materia di sicurezza contro il sabotaggio e lo +spionaggio. Poiché la connettività internazionale migliora e accelera la digitalizzazione competitiva dell'Unione e +della sua economia, gli incidenti che interessano i cavi di comunicazione sottomarini dovrebbero essere segnalati al +CSIRT o, se del caso, all'autorità competente. La strategia nazionale per la cibersicurezza dovrebbe, se del caso, +tenere conto della cibersicurezza dei cavi di comunicazione sottomarini e includere una mappatura dei potenziali +rischi di cibersicurezza e misure di attenuazione per garantire il massimo livello di protezione. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/99 + +(98) + +Al fine di salvaguardare la sicurezza delle reti pubbliche di comunicazione elettronica e dei servizi di comunicazione +elettronica accessibili al pubblico, l'uso delle tecnologie di cifratura, in particolare la cifratura end-to-end, come +anche concetti di sicurezza incentrati sui dati, quali la cartografia, la segmentazione, la marcatura, la politica di +accesso e la gestione dell'accesso, nonché le decisioni di accesso automatizzato, dovrebbe essere promosso. Ove +necessario, l'uso della cifratura, in particolare la cifratura end-to-end, dovrebbe essere reso obbligatorio per i +fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al +pubblico, conformemente ai principi di sicurezza e tutela della vita privata per impostazione predefinita e fin dalla +progettazione ai fini della presente direttiva. L'uso della cifratura end-to-end dovrebbe essere conciliato con i poteri +degli Stati membri di garantire la tutela della sicurezza pubblica e dei loro interessi essenziali in materia di sicurezza, +nonché di consentire la prevenzione, l'indagine, l'accertamento e il perseguimento di reati in conformità al diritto +dell'Unione. Tuttavia, ciò non dovrebbe indebolire la cifratura end-to-end, che è una tecnologia fondamentale per +un'efficace protezione dei dati, della privacy e della sicurezza delle comunicazioni. + +(99) + +Al fine di salvaguardare la sicurezza, e prevenire abusi e manipolazioni, delle reti pubbliche di comunicazione +elettronica e dei servizi di comunicazione elettronica accessibili al pubblico, è opportuno promuovere il ricorso a +standard in materia di inoltro sicuro per garantire l'integrità e la solidità delle funzioni di inoltro in tutto +l'ecosistema dei fornitori di servizi di accesso a internet. + +(100) Al fine di salvaguardare la funzionalità e l'integrità di internet e promuovere la sicurezza e la resilienza del DNS, i +portatori di interessi pertinenti, tra cui soggetti del settore privato dell'Unione, fornitori di servizi di comunicazione +elettronica accessibili al pubblico, in particolare fornitori di servizi di accesso a internet e fornitori di motori di +ricerca online, dovrebbero essere incoraggiati ad adottare una strategia di diversificazione della risoluzione DNS. +Inoltre, gli Stati membri dovrebbero incoraggiare lo sviluppo e l'utilizzo di un servizio europeo di risoluzione DNS +pubblico e sicuro. + +(101) La presente direttiva stabilisce un approccio in più fasi alla segnalazione degli incidenti significativi al fine di trovare +il giusto equilibrio tra, da un lato, una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di +incidenti e consenta ai soggetti essenziali e importanti di chiedere assistenza e, dall'altro, una segnalazione +approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza informatica dei +singoli soggetti e di interi settori. A tale proposito, la presente direttiva dovrebbe includere la segnalazione di +incidenti che, sulla base di una valutazione iniziale condotta dal soggetto interessato, potrebbero causare gravi +perturbazioni operative dei servizi o perdite finanziarie per tale soggetto, o interessare altre persone fisiche o +giuridiche causando considerevoli danni materiali o immateriali. Detta valutazione iniziale dovrebbe tenere conto, +tra l'altro, dei sistemi informatici e di rete interessati, in particolare della loro importanza nella fornitura dei servizi +del soggetto, della gravità e delle caratteristiche tecniche di una minaccia informatica e delle eventuali vulnerabilità +sottostanti che vengono sfruttate, nonché dell'esperienza del soggetto in caso di incidenti simili. Indicatori quali la +misura in cui il funzionamento del servizio è interessato, la durata di un incidente o il numero di destinatari dei +servizi interessati potrebbero svolgere un ruolo importante nel determinare se la perturbazione operativa del +servizio è grave. + +(102) Qualora vengano a conoscenza di un incidente significativo, i soggetti essenziali o importanti dovrebbero essere +tenuti a presentare un preallarme senza indebito ritardo, e comunque entro 24 ore. Tale preallarme dovrebbe essere +seguito da una notifica dell'incidente. I soggetti interessati dovrebbero presentare una notifica dell'incidente senza +indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, allo +scopo, in particolare, di aggiornare le informazioni trasmesse nel preallarme e di indicare una valutazione iniziale +dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di +compromissione. Una relazione finale dovrebbe essere presentata entro un mese dalla notifica dell'incidente. Il +preallarme dovrebbe contenere soltanto le informazioni necessarie per informare il CSIRT, o se del caso l'autorità +competente, dell'incidente significativo e consentire al soggetto interessato di chiedere assistenza, se necessario. Tale +preallarme dovrebbe indicare, ove opportuno, se l'incidente significativo è sospettato di essere il risultato di atti +illeciti o malevoli e se è probabile che abbia un impatto transfrontaliero. Gli Stati membri dovrebbero garantire che +l'obbligo di presentare tale preallarme, o la successiva notifica dell'incidente, non sottragga le risorse del soggetto +notificante alle attività relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie, per evitare +che gli obblighi di segnalazione degli incidenti sottraggano risorse alla gestione della risposta agli incidenti o + +L 333/100 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +compromettano altrimenti gli sforzi dei soggetti a tale riguardo. In caso di incidente in corso al momento della +trasmissione della relazione finale, gli Stati membri dovrebbero provvedere affinché i soggetti interessati forniscano +una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell'incidente +significativo. + +(103) Se del caso, i soggetti essenziali e importanti dovrebbero comunicare senza indebito ritardo ai destinatari dei loro +servizi le misure o le azioni correttive che possono adottare per attenuare i rischi che derivano da una minaccia +informatica significativa. Tali soggetti dovrebbero, ove opportuno e in particolare quando è probabile che la +minaccia informatica significativa si concretizzi, informare i destinatari dei loro servizi anche in merito alla +minaccia stessa. L'obbligo di informare tali destinatari in merito alle minacce informatiche significative dovrebbe +essere soddisfatto con la massima diligenza possibile, ma non dovrebbe esonerare tali soggetti dall'obbligo di +adottare, a proprie spese, provvedimenti adeguati e immediati per prevenire eventuali minacce di questo tipo o +porvi rimedio e ristabilire il normale livello di sicurezza del servizio. La fornitura ai destinatari dei servizi di tali +informazioni riguardanti le minacce informatiche significative dovrebbe essere gratuita e avvenire in una lingua +facilmente comprensibile. + +(104) I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al +pubblico dovrebbero attuare la sicurezza fin dalla progettazione e per impostazione predefinita e informare i +destinatari dei loro servizi di minacce informatiche significative e delle misure che questi ultimi possono adottare +per proteggere la sicurezza dei loro dispositivi e delle loro comunicazioni, ad esempio attraverso l'uso di particolari +tipi di programmi o tecnologie di cifratura. + +(105) Un approccio proattivo alle minacce informatiche è una componente essenziale delle misure di gestione dei rischi di +cibersicurezza che dovrebbe consentire alle autorità competenti di impedire efficacemente che le minacce +informatiche si trasformino in incidenti che possono causare danni materiali o immateriali considerevoli. A tal fine, +la notifica di minacce informatiche riveste un'importanza fondamentale. I soggetti sono pertanto incoraggiati a +segnalare su base volontaria le minacce informatiche. + +(106) Al fine di semplificare la comunicazione delle informazioni richieste a norma della presente direttiva e di ridurre gli +oneri amministrativi per i soggetti, gli Stati membri dovrebbero fornire mezzi tecnici quali un punto di ingresso +unico, sistemi automatizzati, moduli online, interfacce di facile utilizzo, modelli e piattaforme dedicate per l'uso dei +soggetti, indipendentemente dal fatto che rientrino o meno nell'ambito di applicazione della presente direttiva, per +la comunicazione delle pertinenti informazioni da segnalare. I finanziamenti dell'Unione a sostegno dell'attuazione +della presente direttiva, in particolare nell'ambito del programma Europa digitale istituito dal regolamento (UE) +2021/694 del Parlamento europeo e del Consiglio (21), potrebbero includere il sostegno a punti di ingresso unici. +Inoltre, i soggetti si trovano spesso in una situazione in cui un particolare incidente, a causa delle sue caratteristiche, +deve essere segnalato a varie autorità in conseguenza degli obblighi di notifica previsti da vari strumenti giuridici. +Tali casi creano ulteriori oneri amministrativi e potrebbero anche generare incertezze in merito al formato e alle +procedure di tali notifiche. Qualora sia istituito un punto di ingresso unico, gli Stati membri sono incoraggiati a +utilizzare tale punto di ingresso anche per le notifiche degli incidenti di sicurezza previste da altre normative +dell'Unione, quali il regolamento (UE) 2016/679 e la direttiva 2002/58/CE. L'uso di tale punto di accesso unico per +la segnalazione di incidenti di sicurezza a norma del regolamento (UE) 2016/679 e della direttiva 2002/58/CE non +dovrebbe pregiudicare l'applicazione delle disposizioni di cui al regolamento (UE) 2016/679 e alla direttiva +2002/58/CE, in particolare quelle relative all'indipendenza delle autorità ivi menzionate. L'ENISA, in collaborazione +con il gruppo di cooperazione, dovrebbe elaborare modelli comuni di notifica mediante orientamenti per +semplificare e razionalizzare le informazioni da segnalare richieste a norma del diritto dell'Unione e ridurre gli oneri +amministrativi per i soggetti notificanti. + +(107) Se si sospetta che un incidente sia connesso ad attività criminali gravi a norma del diritto dell'Unione o nazionale, gli +Stati membri dovrebbero incoraggiare i soggetti essenziali e importanti, in base alle norme applicabili ai +procedimenti penali in conformità al diritto dell'Unione, a segnalare alle autorità di contrasto pertinenti gli incidenti +di cui si sospetta la natura criminale grave. Ove opportuno, e fatte salve le norme in materia di protezione dei dati +personali applicabili a Europol, è auspicabile che il Centro europeo per la lotta alla criminalità informatica (EC3) e +l'ENISA agevolino il coordinamento tra le autorità competenti e le autorità di contrasto dei diversi Stati membri. +(21) Regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio, del 29 aprile 2021, che istituisce il programma Europa digitale e +che abroga la decisione (UE) 2015/2240 (GU L 166 dell'11.5.2021, pag. 1). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/101 + +(108) In molti casi gli incidenti compromettono i dati personali. In tale contesto, le autorità competenti dovrebbero +cooperare e scambiarsi informazioni su tutte le questioni pertinenti con le autorità di cui al regolamento (UE) +2016/679 e alla direttiva 2002/58/CE. + +(109) Il mantenimento di banche dati precise e complete dei dati di registrazione dei nomi di dominio («dati WHOIS») e la +fornitura di un accesso legittimo a tali dati sono essenziali per garantire la sicurezza, la stabilità e la resilienza del +DNS, che a sua volta contribuisce a un elevato livello comune di cibersicurezza in tutta l'Unione. A tal fine specifico, +i registri dei nomi di dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio +dovrebbero essere tenuti a trattare alcuni dati necessari a raggiungere tale scopo. Tale trattamento dovrebbe +costituire un obbligo legale ai sensi dell'articolo 6, paragrafo 1, lettera c), del regolamento (UE) 2016/679. Il +suddetto obbligo non pregiudica la possibilità di raccogliere dati di registrazione dei nomi di dominio per altri +scopi, ad esempio sulla base di accordi contrattuali o di obblighi legali stabiliti in altre normative dell'Unione o +nazionali. Tale obbligo mira a ottenere una serie completa e accurata di dati di registrazione e non dovrebbe +comportare la raccolta degli stessi dati più volte. I registri dei nomi di dominio di primo livello e i soggetti che +forniscono servizi di registrazione dei nomi di dominio dovrebbero cooperare tra loro al fine di evitare la +duplicazione di tale compito. + +(110) La disponibilità e la tempestiva accessibilità dei dati di registrazione dei nomi di dominio ai legittimi richiedenti +l'accesso sono essenziali per la prevenzione e la lotta agli abusi del DNS, nonché per la prevenzione, +l'individuazione e la risposta agli incidenti. Per legittimo richiedente l'accesso si intende qualsiasi persona fisica o +giuridica che presenta una richiesta sulla base del diritto dell'Unione o nazionale. Possono comprendere autorità +competenti a norma della presente direttiva e autorità competenti a norma del diritto dell'Unione o nazionale in +materia di prevenzione, indagine, accertamento o perseguimento di reati, e CERT o CSIRT. I registri dei nomi di +dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero essere +tenuti a consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio, necessari ai fini della +richiesta di accesso, ai legittimi richiedenti l'accesso, in conformità al diritto dell'Unione e nazionale. La richiesta dei +legittimi richiedenti l'accesso dovrebbe essere corredata di una motivazione che consenta di valutare la necessità di +accedere ai dati. + +(111) Al fine di garantire la disponibilità di dati di registrazione dei nomi di dominio accurati e completi, i registri dei nomi +di dominio di primo livello e i soggetti che forniscono servizi di registrazione dovrebbero raccogliere i dati di +registrazione dei nomi di dominio e garantirne l'integrità e la disponibilità. In particolare, i registri dei nomi di +dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero +stabilire politiche e procedure per raccogliere e mantenere i dati di registrazione dei nomi di dominio accurati e +completi, nonché per prevenire e rettificare dati di registrazione inesatti in conformità al diritto dell'Unione in +materia di protezione dei dati. Tali politiche e procedure dovrebbero tenere conto, nella misura del possibile, delle +norme elaborate dalle strutture di governance multipartecipativa a livello internazionale. I registri dei nomi di +dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero +adottare e attuare procedure proporzionate per verificare i dati di registrazione dei nomi di dominio. Tali procedure +dovrebbero rispecchiare le migliori prassi utilizzate nel settore e, per quanto possibile, i progressi compiuti nel +settore dell'identificazione elettronica. Tra gli esempi di procedure di verifica figurano i controlli ex ante effettuati al +momento della registrazione e i controlli ex post effettuati dopo la registrazione. I registri dei nomi di dominio di +primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio dovrebbero, in particolare, +verificare almeno uno degli strumenti di contatto del soggetto che procede alla registrazione. + +(112) I registri dei nomi di dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio +dovrebbero essere tenuti a rendere pubblicamente disponibili i dati di registrazione dei nomi di dominio che non +rientrano nell'ambito di applicazione delle norme dell'Unione in materia di protezione dei dati, come i dati +riguardanti le persone giuridiche, in linea con il preambolo del regolamento (UE) 2016/679. Per le persone +giuridiche, i registri dei nomi di dominio di primo livello e i soggetti che forniscono servizi di registrazione dei +nomi di dominio dovrebbero rendere pubblicamente disponibili almeno il nome del soggetto che procede alla +registrazione e il numero di telefono di contatto. Anche l'indirizzo di posta elettronica di contatto dovrebbe essere +pubblicato, a condizione che non contenga dati personali come alias di posta elettronica o account funzionali. +I registri dei nomi di dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di +dominio dovrebbero inoltre consentire l'accesso legittimo a specifici dati di registrazione dei nomi di dominio +riguardanti le persone fisiche ai legittimi richiedenti l'accesso, in conformità al diritto dell'Unione in materia di +protezione dei dati. Gli Stati membri dovrebbero imporre ai registri dei nomi di dominio di primo livello e ai +soggetti che forniscono servizi di registrazione dei nomi di dominio di rispondere senza indebito ritardo alle +richieste di divulgazione dei dati di registrazione dei nomi di dominio presentate da legittimi richiedenti l'accesso. + +L 333/102 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +I registri dei nomi di dominio di primo livello e i soggetti che forniscono servizi di registrazione dei nomi di dominio +dovrebbero stabilire politiche e procedure per la pubblicazione e la divulgazione dei dati di registrazione, compresi +accordi sul livello dei servizi, ai fini del trattamento delle richieste di accesso dei legittimi richiedenti l'accesso. Tali +politiche e procedure dovrebbero tenere conto, nella misura del possibile, di eventuali orientamenti e delle norme +elaborate dalle strutture di governance multipartecipativa a livello internazionale. La procedura di accesso potrebbe +comprendere l'uso di un'interfaccia, di un portale o di un altro strumento tecnico per fornire un sistema efficiente +per la richiesta dei dati di registrazione e l'accesso agli stessi. Al fine di promuovere pratiche armonizzate in tutto il +mercato interno, la Commissione può, fatte salve le competenze del comitato europeo per la protezione dei dati, +fornire orientamenti su tali procedure che tengano conto, nella misura del possibile, delle norme elaborate dalle +strutture di governance multipartecipativa a livello internazionale. Gli Stati membri dovrebbero provvedere affinché +tutte le modalità di accesso ai dati di registrazione dei nomi di dominio, a carattere personale e non, siano gratuite. + +(113) I soggetti che rientrano nell'ambito di applicazione della presente direttiva dovrebbero essere considerati sotto la +giurisdizione dello Stato membro nel quale sono stabiliti. Tuttavia, i fornitori di reti pubbliche di comunicazione +elettronica o i fornitori di servizi di comunicazione elettronica accessibili al pubblico dovrebbero essere considerati +sotto la giurisdizione dello Stato membro nel quale forniscono i loro servizi. I fornitori di servizi DNS, i registri dei +nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione dei nomi di dominio, i fornitori +di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i +fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di +ricerca online e di piattaforme di servizi di social network dovrebbero essere considerati sotto la giurisdizione dello +Stato membro in cui hanno lo stabilimento principale nell'Unione. Gli enti della pubblica amministrazione +dovrebbero rientrare nella giurisdizione dello Stato membro che li ha istituiti. Se fornisce servizi o è stabilito in più +di uno Stato membro, il soggetto dovrebbe rientrare nella giurisdizione separata e concorrente di ciascuno di tali +Stati membri. Le autorità competenti di tali Stati membri dovrebbero cooperare, prestarsi assistenza reciproca e, ove +opportuno, condurre azioni comuni di vigilanza. Qualora esercitino la giurisdizione, gli Stati membri non +dovrebbero imporre misure di esecuzione o comminare sanzioni più di una volta per lo stesso comportamento, in +linea con il principio del ne bis in idem. + +(114) Per tener conto della natura transfrontaliera dei servizi e delle attività dei fornitori di servizi DNS, dei registri dei +nomi di dominio di primo livello, dei soggetti che forniscono servizi di registrazione dei nomi di dominio, dei +fornitori di servizi di cloud computing, dei fornitori di servizi di data center, dei fornitori di reti di distribuzione dei +contenuti, dei fornitori di servizi gestiti, dei fornitori di servizi di sicurezza gestiti, nonché dei fornitori di mercati +online, di motori di ricerca online e di piattaforme di servizi di social network, tali soggetti dovrebbero essere posti +sotto la giurisdizione di un solo Stato membro. La giurisdizione dovrebbe essere attribuita allo Stato membro in cui +il soggetto interessato ha lo stabilimento principale nell'Unione. Il criterio dello stabilimento ai fini della presente +direttiva implica l'esercizio effettivo dell'attività nel quadro di un'organizzazione stabile. A tale riguardo non è +determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica. Il +rispetto di tale criterio non dovrebbe dipendere dal fatto che i sistemi informatici e di rete siano situati fisicamente +in un determinato luogo; la presenza e l'utilizzo dei sistemi in questione non costituiscono di per sé lo stabilimento +principale e non sono pertanto criteri decisivi per la sua determinazione. Si dovrebbe considerare che lo +stabilimento principale dovrebbe sia nello Stato membro in cui sono prevalentemente adottate nell'Unione le +decisioni relative alle misure di gestione dei rischi di cibersicurezza. Ciò corrisponderà di norma alla sede dell'ammi­ +nistrazione centrale dei soggetti nell'Unione. Se non è possibile determinare detto Stato membro o se tali decisioni +non sono adottate nell'Unione, si dovrebbe considerare che lo stabilimento principale sia nello Stato membro in cui +sono effettuate le operazioni di cibersicurezza. Se non è possibile determinare detto Stato membro, si dovrebbe +considerare che lo stabilimento principale sia nello Stato membro in cui il soggetto ha lo stabilimento con il +maggior numero di dipendenti nell'Unione. Qualora i servizi siano forniti da un gruppo di imprese, si dovrebbe +considerare lo stabilimento principale dell'impresa controllante come lo stabilimento principale del gruppo di +imprese. + +(115) Quando un servizio DNS ricorsivo accessibile al pubblico è offerto da un fornitore di reti pubbliche di +comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico solo come parte del +servizio di accesso a internet, il soggetto dovrebbe essere considerato sotto la giurisdizione di tutti gli Stati membri +in cui i suoi servizi sono forniti. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/103 + +(116) Qualora un fornitore di servizi DNS, un registro dei nomi di dominio di primo livello, un soggetto che fornisce +servizi di registrazione dei nomi di dominio, un fornitore di servizi di cloud computing, un fornitori di servizi di +data center, un fornitore di reti di distribuzione dei contenuti, un fornitore di servizi gestiti, un fornitore di servizi di +sicurezza gestiti o un fornitore di un mercato online, di un motore di ricerca online o di una piattaforma di servizi di +social network non sia stabilito nell'Unione, ma offra servizi nell'Unione, esso dovrebbe designare un rappresentante +nell'Unione. Per determinare se tale soggetto stia offrendo servizi nell'Unione, è opportuno verificare se il soggetto +stia progettando di fornire servizi a persone in uno o più Stati membri. La semplice accessibilità nell'Unione del sito +web del soggetto o di un intermediario, oppure di un indirizzo di posta elettronica o di altri dati di contatto, o +l'impiego di una lingua abitualmente utilizzata nel paese terzo in cui il soggetto è stabilito, dovrebbe essere +considerata insufficiente per accertare tale intenzione. Tuttavia, fattori quali l'utilizzo di una lingua o di una moneta +abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare servizi in tale lingua, o la menzione +di clienti o utenti che si trovano nell'Unione, potrebbero evidenziare che il soggetto sta progettando di offrire servizi +all'interno dell'Unione. Il rappresentante dovrebbe agire a nome del soggetto e le autorità competenti o i CSIRT +dovrebbero poterlo contattare. Il rappresentante dovrebbe essere esplicitamente designato mediante mandato scritto +del soggetto affinché agisca a suo nome con riguardo agli obblighi di quest'ultimo ai sensi della presente direttiva, +compresa la segnalazione di incidenti. + +(117) Al fine di garantire una panoramica chiara dei fornitori di servizi DNS, dei registri dei nomi di dominio di primo +livello, dei soggetti che forniscono servizi di registrazione dei nomi di dominio, dei fornitori di servizi di cloud +computing, dei fornitori di servizi di data center, dei fornitori di reti di distribuzione dei contenuti, dei fornitori di +servizi gestiti, dei fornitori di servizi di sicurezza gestiti, nonché dei fornitori di mercati online, di motori di ricerca +online o di piattaforme di servizi di social network, che offrono servizi nell'Unione rientranti nell'ambito di +applicazione della presente direttiva, l'ENISA dovrebbe creare e mantenere un registro di tali entità, sulla base delle +informazioni ricevute dagli Stati membri, se del caso attraverso i meccanismi nazionali istituiti per la loro +registrazione. I punti di contatto unici dovrebbero trasmettere all'ENISA le informazioni ed eventuali modifiche +apportate. Al fine di garantire l'accuratezza e la completezza delle informazioni che dovrebbero essere incluse in +tale registro, gli Stati membri possono trasmettere all'ENISA le informazioni su tali soggetti disponibili in qualsiasi +registro nazionale. L'ENISA e gli Stati membri dovrebbero adottare misure per agevolare l'interoperabilità di tali +registri, garantendo nel contempo la protezione delle informazioni riservate o classificate. L'ENISA dovrebbe +istituire adeguati protocolli di classificazione e gestione delle informazioni per garantire la sicurezza e la +riservatezza delle informazioni divulgate e limitare l'accesso, l'archiviazione e la trasmissione di dette informazioni +agli utenti destinatari. + +(118) Qualora informazioni classificate in conformità al diritto nazionale o dell'Unione siano scambiate, comunicate o +altrimenti condivise a norma della presente direttiva, dovrebbero essere applicate le corrispondenti norme sulla +gestione delle informazioni classificate. Inoltre, l'ENISA dovrebbe predisporre l'infrastruttura, le procedure e le +norme per il trattamento delle informazioni sensibili e classificate in conformità alle norme di sicurezza applicabili +alla protezione delle informazioni classificate dell'UE. + +(119) Di fronte a minacce informatiche che si fanno sempre più complesse e sofisticate, la validità delle misure di +rilevamento e prevenzione dipende in larga misura da una costante condivisione tra i soggetti di informazioni di +intelligence relative alle minacce e alle vulnerabilità. La condivisione delle informazioni contribuisce a una maggiore +consapevolezza delle minacce informatiche che, a sua volta, accresce la capacità dei soggetti di impedire che tali +minacce si trasformino in incidenti e consente ai soggetti di arginare in maniera più efficace gli effetti degli incidenti +e di riprendersi in modo più efficiente. In assenza di orientamenti a livello dell'Unione, diversi fattori, tra cui in +particolare l'incertezza sulla compatibilità con le norme in materia di concorrenza e responsabilità, sembrano aver +ostacolato tale condivisione delle informazioni di intelligence. + +(120) È quindi opportuno che i soggetti siano incoraggiati e assistiti dagli Stati membri al fine di sfruttare collettivamente, +sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello +individuale al fine di accrescere le loro capacità di prevenire e rilevare adeguatamente gli incidenti, riprendersi da +essi, rispondervi o mitigarne gli impatti. È pertanto necessario consentire la creazione a livello dell'Unione di +accordi volontari di condivisione delle informazioni in materia di cibersicurezza. A tal fine, gli Stati membri +dovrebbero sostenere e incoraggiare attivamente anche i soggetti quali i soggetti che forniscono servizi di +cibersicurezza e di ricerca, nonché i soggetti pertinenti che non rientrano nell'ambito di applicazione della presente +direttiva, a partecipare a tali accordi di condivisione delle informazioni in materia di cibersicurezza. Tali accordi +dovrebbero essere stabiliti in conformità delle norme dell'Unione in materia di concorrenza e di protezione dei dati. + +L 333/104 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(121) Il trattamento dei dati personali, nella misura necessaria e proporzionata al fine di garantire la sicurezza dei sistemi +informatici e di rete da parte di soggetti essenziali e importanti, potrebbe essere considerato lecito in virtù del fatto +che tale trattamento è conforme a un obbligo legale cui è soggetto il titolare del trattamento, conformemente ai +requisiti di cui all'articolo 6, paragrafo 1, lettera c), e all'articolo 6, paragrafo 3, del regolamento (UE) 2016/679. +Il trattamento dei dati personali potrebbe essere necessario anche per i legittimi interessi perseguiti dai soggetti +essenziali e importanti, nonché dai fornitori di tecnologie e servizi di sicurezza che agiscono per conto di tali +soggetti, a norma dell'articolo 6, paragrafo 1, lettera f), del regolamento (UE) 2016/679, anche qualora tale +trattamento sia necessario per accordi di condivisione delle informazioni in materia di cibersicurezza o per la +notifica volontaria di informazioni pertinenti a norma della presente direttiva. Le misure relative alla prevenzione, al +rilevamento, all'individuazione, al contenimento e all'analisi degli incidenti e alla risposta agli stessi, le misure di +sensibilizzazione in relazione a specifiche minacce informatiche, lo scambio di informazioni nel contesto della +risoluzione e della divulgazione coordinata delle vulnerabilità, lo scambio volontario di informazioni su tali +incidenti, sulle minacce informatiche e sulle vulnerabilità, sugli indicatori di compromissione, sulle tattiche, sulle +tecniche e le procedure, sugli allarmi di cibersicurezza e sugli strumenti di configurazione potrebbero richiedere il +trattamento di talune categorie di dati personali, quali indirizzi IP, localizzatori uniformi di risorse (URL), nomi di +dominio, indirizzi di posta elettronica e, laddove rivelino dati personali, marcature temporali. Il trattamento dei dati +personali da parte delle autorità competenti, dei punti di contatto unici e dei CSIRT potrebbe costituire un obbligo +legale o essere considerato necessario per svolgere un compito di interesse pubblico o connesso all'esercizio di +pubblici poteri di cui è investito il titolare del trattamento ai sensi dell'articolo 6, paragrafo 1, lettera c) o e), e +dell'articolo 6, paragrafo 3, del regolamento (UE) 2016/679, o per perseguire un interesse legittimo dei soggetti +essenziali e importanti di cui all'articolo 6, paragrafo 1, lettera f), di tale regolamento. Inoltre, il diritto nazionale +potrebbe stabilire norme che consentano alle autorità competenti, ai punti di contatto unici e ai CSIRT, nella misura +necessaria e proporzionata al fine di garantire la sicurezza dei sistemi informatici e di rete dei soggetti essenziali e +importanti, di trattare categorie particolari di dati personali conformemente all'articolo 9 del regolamento (UE) +2016/679, in particolare prevedendo misure adeguate e specifiche per tutelare i diritti e gli interessi fondamentali +delle persone fisiche, comprese limitazioni tecniche al riutilizzo di tali dati e l'uso di misure all'avanguardia in +materia di sicurezza e di tutela della vita privata, quali la pseudonimizzazione o la cifratura qualora +l'anonimizzazione possa incidere significativamente sulla finalità perseguita. + +(122) Al fine di rafforzare i poteri e le misure di vigilanza che contribuiscono a garantire l'effettiva conformità, la presente +direttiva dovrebbe prevedere un elenco minimo di misure e mezzi di vigilanza attraverso i quali le autorità +competenti possono vigilare sui soggetti essenziali e importanti. La presente direttiva dovrebbe inoltre stabilire una +differenziazione del regime di vigilanza tra i soggetti essenziali e i soggetti importanti al fine di garantire un giusto +equilibrio degli obblighi per tali soggetti e per le autorità competenti. Pertanto, i soggetti essenziali dovrebbero +essere sottoposti a un regime di vigilanza completo, ex ante ed ex post, mentre i soggetti importanti dovrebbero +essere sottoposti a un regime di vigilanza leggero, solo ex post. I soggetti importanti non dovrebbero quindi essere +tenuti a documentare sistematicamente il rispetto delle misure di gestione dei rischi di cibersicurezza, mentre le +autorità competenti dovrebbero attuare un approccio ex post reattivo alla vigilanza e, di conseguenza, non +dovrebbero avere un obbligo generale di vigilanza su tali soggetti. La vigilanza ex post di soggetti importanti può +essere innescata da elementi di prova, indicazioni o informazioni portati all'attenzione delle autorità competenti che +tali autorità ritengono suggerire possibili violazioni della presente direttiva. Ad esempio, tali elementi di prova, +indicazioni o informazioni potrebbero essere del tipo fornito alle autorità competenti da altre autorità, soggetti, +cittadini, media o altre fonti o informazioni disponibili al pubblico, o emergere nel corso di altre attività svolte dalle +autorità competenti nell'adempimento dei loro compiti. + +(123) L'esecuzione dei compiti di vigilanza da parte delle autorità competenti non dovrebbe ostacolare inutilmente le +attività commerciali del soggetto interessato. Nell'esercizio dei rispettivi compiti di vigilanza nei confronti dei +soggetti essenziali, tra cui lo svolgimento di ispezioni in loco e la vigilanza a distanza, le indagini sui casi di +violazione della presente direttiva e lo svolgimento di audit sulla sicurezza o scansioni di sicurezza, le autorità +competenti dovrebbero ridurre al minimo l'impatto sulle attività commerciali del soggetto interessato. + +(124) Nell'esercizio della vigilanza ex ante, le autorità competenti dovrebbero poter decidere in modo proporzionato +l'ordine di priorità nel ricorso alle misure e ai mezzi di vigilanza a loro disposizione. Ciò implica che le autorità +competenti possano decidere l'ordine di priorità sulla base di metodologie di vigilanza che dovrebbero seguire un +approccio basato sui rischi. Più specificamente, tali metodologie potrebbero includere criteri o parametri di +riferimento per la classificazione dei soggetti essenziali in categorie di rischio e corrispondenti misure e mezzi di +vigilanza raccomandati per categoria di rischio, quali l'uso, la frequenza o il tipo di ispezioni in loco, audit sulla +sicurezza mirati o scansioni di sicurezza, il tipo di informazioni da richiedere e il livello di dettaglio di tali + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/105 + +informazioni. Tali metodologie di vigilanza potrebbero inoltre essere corredate da programmi di lavoro ed essere +valutate e riesaminate periodicamente, anche per quanto riguarda aspetti quali l'assegnazione e il fabbisogno di +risorse. In relazione agli enti della pubblica amministrazione, i poteri di vigilanza dovrebbero essere esercitati in +linea con i quadri legislativi e istituzionali nazionali. + +(125) Le autorità competenti dovrebbero provvedere affinché i loro compiti di vigilanza nei confronti dei soggetti +essenziali e importanti siano svolti da professionisti formati, che dovrebbero disporre delle competenze necessarie +per svolgere tali compiti, in particolare per quanto riguarda lo svolgimento di ispezioni in loco e la vigilanza a +distanza, compresa l'individuazione di carenze nelle banche dati, nell'hardware, nei firewall, nella cifratura e nelle +reti. Tali ispezioni e tale supervisione dovrebbero essere condotte in modo obiettivo. + +(126) In casi debitamente giustificati in cui sia a conoscenza di una minaccia informatica significativa o di un rischio +imminente, l'autorità competente dovrebbe essere in grado di adottare decisioni di esecuzione immediata al fine di +prevenire un incidente o di rispondervi. + +(127) Al fine di rendere efficace l'esecuzione, è opportuno stabilire un elenco minimo di competenze di esecuzione che +possono essere esercitate in caso di violazione delle misure di gestione e segnalazione dei rischi di cibersicurezza +previsti dalla presente direttiva, istituendo un quadro chiaro e coerente per tali misure di esecuzione in tutta +l'Unione. Occorre tenere debitamente conto della natura, della gravità e della durata del danno materiale o +immateriale causato, del carattere doloso o colposo della violazione della presente direttiva, delle azioni intraprese +per prevenire o attenuare il danno materiale o immateriale, del grado di responsabilità o di eventuali violazioni +precedenti pertinenti, del grado di cooperazione con l'autorità competente e di qualsiasi altro fattore aggravante o +attenuante. Le misure di esecuzione, comprese le sanzioni amministrative pecuniarie, dovrebbero essere +proporzionate e la loro imposizione dovrebbe essere soggetta a garanzie procedurali appropriate in conformità dei +principi generali del diritto dell'Unione e della Carta dei diritti fondamentali dell'Unione europea («Carta»), inclusi il +diritto a un ricorso effettivo e a un giusto processo, la presunzione di innocenza e i diritti della difesa. + +(128) La presente direttiva non impone agli Stati membri di prevedere la responsabilità penale o civile delle persone fisiche +incaricate di garantire la conformità di un soggetto alla presente direttiva per i danni subiti da terzi a seguito di una +violazione della stessa. + +(129) Al fine di garantire l'efficace applicazione degli obblighi stabiliti nella presente direttiva, ciascuna autorità +competente dovrebbe avere il potere di imporre o chiedere l'imposizione di sanzioni amministrative pecuniarie. + +(130) Qualora una sanzione amministrativa pecuniaria sia comminata a un soggetto essenziale o importante che è +un'impresa, quest'ultima dovrebbe essere intesa quale impresa conformemente agli articoli 101 e 102 TFUE a tali +fini. Qualora una sanzione amministrativa pecuniaria sia comminata a una persona che non sia impresa, l'autorità +competente dovrebbe tenere conto del livello generale di reddito nello Stato membro come pure della situazione +economica della persona nel valutare l'importo appropriato della sanzione pecuniaria. Dovrebbe spettare agli Stati +membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative +pecuniarie. L'imposizione di una sanzione amministrativa pecuniaria non pregiudica l'applicazione di altri poteri da +parte delle autorità competenti o di altre sanzioni previste dalle norme nazionali di recepimento della presente +direttiva. + +(131) Gli Stati membri dovrebbero poter stabilire le norme relative alle sanzioni penali in caso di violazione delle norme +nazionali di recepimento della presente direttiva. Tuttavia, l'imposizione di sanzioni penali per le violazioni di tali +norme nazionali e delle relative sanzioni amministrative non dovrebbe essere in contrasto con il principio del +ne bis in idem quale interpretato dalla Corte di giustizia dell’Unione europea. + +(132) Qualora la presente direttiva non armonizzi le sanzioni amministrative o ove necessario in altri casi, ad esempio in +caso di violazione grave degli obblighi della presente direttiva, gli Stati membri dovrebbero attuare un sistema che +preveda sanzioni effettive, proporzionate e dissuasive. La natura di tali sanzioni, e se esse siano penali o +amministrative, dovrebbe essere determinata dalla legislazione nazionale. + +L 333/106 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(133) Al fine di rafforzare ulteriormente l'efficacia e il carattere dissuasivo delle misure di esecuzione applicabili alle +violazioni della presente direttiva, le autorità competenti dovrebbero avere la facoltà di sospendere +temporaneamente o di richiedere la sospensione temporanea di una certificazione o di un'autorizzazione relativa a +una parte o alla totalità dei servizi pertinenti forniti o dalle attività effettuate da un soggetto essenziale e richiedere +l’imposizione di un divieto temporaneo all'esercizio di funzioni dirigenziali da parte di qualsiasi persona fisica che +svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale. Data la loro gravità e +l'impatto sulle attività dei soggetti e, in ultima analisi, sugli utenti, tali sospensioni o divieti temporanei dovrebbero +essere applicati solo in proporzione alla gravità della violazione e tenendo conto delle circostanze di ciascun singolo +caso, tra cui il carattere doloso o colposo della violazione e qualsiasi azione intrapresa per prevenire o attenuare il +danno materiale o immateriale Tali sospensioni o divieti temporanei dovrebbero essere applicati solo come ultima +ratio, vale a dire solo una volta esaurite le altre pertinenti misure di esecuzione previste dalla presente direttiva, e +solo fino a quando il soggetto interessato non adotti le misure necessarie per rimediare alle carenze o per +conformarsi alle prescrizioni dell'autorità competente per cui tali sospensioni o divieti temporanei sono stati +applicati. L'imposizione di tali sospensioni o i divieti temporanei dovrebbe essere soggetta a garanzie procedurali +appropriate in conformità ai principi generali del diritto dell'Unione e della Carta, inclusi il diritto a un ricorso +effettivo e ad un giusto processo, la presunzione di innocenza e i diritti della difesa. + +(134) Al fine di garantire l'adempimento, da parte dei soggetti, degli obblighi di cui alla presente direttiva, gli Stati membri +dovrebbero cooperare e prestarsi reciproca assistenza per quanto riguarda le misure di vigilanza e di applicazione, in +particolare quando un soggetto fornisce servizi in più di uno Stato membro o quando i suoi sistemi informatici e di +rete sono situati in uno Stato membro diverso da quello in cui presta servizi. Nel fornire assistenza, l'autorità +competente interpellata dovrebbe adottare misure di vigilanza o di esecuzione conformemente al diritto nazionale. +Onde garantire il buon funzionamento dell'assistenza reciproca ai sensi della presente direttiva, le autorità +competenti dovrebbero avvalersi del gruppo di cooperazione quale forum per esaminare i singoli casi e le richieste +di assistenza. + +(135) Al fine di garantire una vigilanza e un'esecuzione efficaci, in particolare quando la situazione ha una dimensione +transfrontaliera, gli Stati membri che hanno ricevuto una richiesta di assistenza reciproca dovrebbero, nei limiti di +tale richiesta, adottare misure di vigilanza e di esecuzione adeguate in relazione al soggetto oggetto di tale richiesta, +e che fornisce servizi o che dispone di sistemi informatici e di una rete sul territorio di tale Stato membro. + +(136) La presente direttiva dovrebbe stabilire norme di cooperazione tra le autorità competenti e le autorità di controllo nel +quadro del regolamento (UE) 2016/679 per far fronte alle violazioni della presente direttiva relative ai dati personali. + +(137) La presente direttiva dovrebbe mirare a garantire un elevato livello di responsabilità per le misure di gestione dei +rischi di cibersicurezza e gli obblighi di segnalazione a livello di soggetti essenziali e importanti. Pertanto, gli organi +di gestione dei soggetti essenziali e importanti dovrebbero approvare le misure di gestione dei rischi di +cibersicurezza e sorvegliarne l'attuazione. + +(138) Al fine di garantire un livello comune elevato di cibersicurezza in tutta l'Unione sulla base della presente direttiva, +conformemente all'articolo 290 TFUE alla Commissione dovrebbe essere delegato il potere di adottare atti per +quanto riguarda l'integrazione della presente direttiva specificando quali categorie di soggetti essenziali e importanti +debbano essere tenute ad utilizzare determinati prodotti TIC, servizi TIC e processi TIC certificati o ad ottenere un +certificato nell'ambito di un sistema europeo di certificazione della cibersicurezza. È di particolare importanza che +durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei +principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (22). In particolare, al fine di +garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio +ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno +sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali +atti delegati. +(22) GU L 123 del 12.5.2016, pag. 1. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/107 + +(139) Al fine di garantire condizioni uniformi per l'attuazione della presente direttiva, dovrebbero essere attribuite alla +Commissione competenze di esecuzione per stabilire le modalità procedurali necessarie per il funzionamento del +gruppo di cooperazione e i requisiti tecnici e metodologici nonché settoriali relativi alle misure di gestione del +rischio di cibersicurezza, e per specificare ulteriormente il tipo di informazioni, il formato e la procedura degli +incidenti, delle minacce informatiche e delle notifiche quasi assenti e delle comunicazioni significative relative a +minacce informatiche, nonché i casi in cui un incidente deve essere considerato significativo. È altresì opportuno +che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del +Consiglio (23). + +(140) È opportuno che la Commissione riesamini la presente direttiva a scadenze regolari, dopo aver consultato le parti +interessate, in particolare al fine valutare se sia opportuno proporre modifiche alla luce dei cambiamenti delle +condizioni sociali, politiche, tecnologiche o del mercato. Nel quadro di tali riesami, la Commissione dovrebbe +valutare la pertinenza delle dimensioni dei soggetti interessati, e i settori, dei sottosettori e dei tipi di soggetto di cui +agli allegati della presente direttiva ai fini del funzionamento dell'economia e della società per quanto riguarda la +cibersicurezza. La Commissione dovrebbe valutare, tra l'altro, se i fornitori, che ricadono nell'ambito di applicazione +della presente direttiva, designati come piattaforme online di dimensioni molto grandi ai sensi dell'articolo 33 del +regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio (24) possano essere identificati come soggetti +essenziali ai sensi della presente direttiva. + +(141) La presente direttiva istituisce nuovi compiti per l'ENISA, rafforzando in tal modo il suo ruolo, e potrebbe anche +portare l'ENISA a dover svolgere i suoi compiti a norma del regolamento (UE) 2019/881 a un livello più alto di +prima. Al fine di garantire che l'ENISA disponga delle risorse finanziarie e umane necessarie per svolgere le funzioni +esistenti e nuove, nonché per soddisfare eventuali livelli più elevati di esecuzione di tali funzioni derivanti dal suo +ruolo rafforzato, il suo bilancio dovrebbe essere aumentato di conseguenza. Inoltre, al fine di garantire un uso +efficiente delle risorse, all'ENISA dovrebbe essere data maggiore flessibilità nel modo in cui è in grado di assegnare +risorse internamente, in modo che possa svolgere i suoi compiti e soddisfare le aspettative in modo efficace. + +(142) Poiché l'obiettivo della presente direttiva, vale a dire conseguire un elevato livello comune di cibersicurezza +nell'Unione, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo degli effetti +dell'azione, può essere conseguito meglio a livello di Unione, quest'ultima può intervenire in base al principio di +sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. La presente direttiva si limita a quanto è +necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso +articolo. + +(143) La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta, in particolare il diritto +al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà d'impresa, il diritto alla +proprietà, il diritto a un ricorso effettivo e ad un giudice imparziale, la presunzione d'innocenza e i diritti della difesa. +Il diritto a un ricorso effettivo si estende ai destinatari di servizi forniti da soggetti essenziali e importanti. La presente +direttiva dovrebbe essere attuata in conformità a tali diritti e principi. + +(144) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del +Consiglio (25), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere l'11 marzo +2021 (26), +(23) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi +generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla +Commissione (GU L 55 del 28.2.2011, pag. 13). +(24) Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi +digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (GU L 277 del 27.10.2022, pag. 1). +(25) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in +relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera +circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, +pag. 39). +(26) GU C 183 dell'11.5.2021, pag. 3. + +L 333/108 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +HANNO ADOTTATO LA PRESENTE DIRETTIVA: + +CAPO I +DISPOSIZIONI GENERALI + +Articolo 1 +Oggetto e ambito di applicazione +1. +La presente direttiva stabilisce misure volte a garantire un livello comune elevato di cibersicurezza nell'Unione in +modo da migliorare il funzionamento del mercato interno. +2. + +A tal fine, la presente direttiva stabilisce: + +a) obblighi che impongono agli Stati membri di adottare strategie nazionali in materia di cibersicurezza e di designare o +creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di +sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica (CSIRT); +b) misure in materia di gestione dei rischi di cibersicurezza e obblighi di segnalazione per i soggetti di un tipo di cui +all'allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557; +c) norme e obblighi in materia di condivisione delle informazioni sulla cibersicurezza; +d) obblighi in materia di vigilanza ed esecuzione per gli Stati membri. + +Articolo 2 +Ambito di applicazione +1. +La presente direttiva si applica ai soggetti pubblici o privati delle tipologie di cui all'allegato I o II che sono considerati +medie imprese ai sensi all'articolo 2, paragrafo 1, dell'allegato alla raccomandazione 2003/361/CE, o che superano i +massimali per le medie imprese di cui al paragrafo 1 di tale articolo, e che prestano i loro servizi o svolgono le loro attività +all'interno dell'Unione. +L'articolo 3, paragrafo 4, dell'allegato a tale raccomandazione non si applica ai fini della presente direttiva. +2. +La presente direttiva si applica anche ai soggetti, indipendentemente dalle loro dimensioni, delle tipologie di cui +all'allegato I o II qualora: +a) i servizi siano forniti da: +i) + +fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al +pubblico; + +ii) prestatore di servizi di fiducia; +iii) registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio; +b) il soggetto sia l'unico fornitore in uno Stato membro di un servizio che è essenziale per il mantenimento di attività +sociali o economiche fondamentali; +c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, +l'incolumità pubblica o la salute pubblica; +d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in +particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero; +e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale regionale per quel particolare settore +o tipo di servizio o per altri settori indipendenti nello Stato membro; + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/109 + +f) il soggetto è un ente della pubblica amministrazione: +i) dell'amministrazione centrale quale definito da uno Stato membro conformemente al diritto nazionale; o +ii) a livello regionale quale definito da uno Stato membro conformemente al diritto nazionale che, a seguito di una +valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su +attività sociali o economiche critiche. +3. +La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, identificati come soggetti critici +ai sensi della direttiva (UE) 2022/2557. +4. +La presente direttiva si applica ai soggetti, indipendentemente dalle loro dimensioni, che forniscono servizi di +registrazione dei nomi di dominio. +5. + +Gli Stati membri possono prevedere che la presente direttiva si applichi a: + +a) enti della pubblica amministrazione a livello locale; +b) istituti di istruzione, in particolare ove svolgano attività di ricerca critiche. +6. +La presente direttiva lascia impregiudicata la responsabilità degli Stati membri di tutelare la sicurezza nazionale e il +loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell'integrità territoriale dello Stato e il +mantenimento dell'ordine pubblico. +7. +La presente direttiva non si applica agli enti della pubblica amministrazione che svolgono le loro attività nei settori +della sicurezza nazionale, della pubblica sicurezza o della difesa, del contrasto, comprese la prevenzione, le indagini, +l'accertamento e il perseguimento dei reati. +8. +Gli Stati membri possono esentare soggetti specifici che svolgono attività nei settori della sicurezza nazionale, della +pubblica sicurezza, della difesa o del contrasto, compresi la prevenzione, l'indagine, l'accertamento e il perseguimento di +reati, o che forniscono servizi esclusivamente agli enti della pubblica amministrazione di cui al paragrafo 7 del presente +articolo, dal rispetto degli obblighi di cui all'articolo 21 o all'articolo 23 per quanto riguarda tali attività o servizi. In tali +casi, le misure di vigilanza e di applicazione di cui al capo VII non si applicano in relazione a tali attività o servizi specifici. +Qualora i soggetti svolgano attività o prestino servizi esclusivamente del tipo di cui al presente paragrafo, gli Stati membri +possono anche decidere di esentare tali enti dagli obblighi di cui agli articoli 3 e 27. +9. + +I paragrafi 7 e 8 non si applicano quando un soggetto agisce in qualità di prestatore di servizi fiduciari. + +10. +La presente direttiva non si applica ai soggetti che gli Stati membri hanno esentato dall'ambito di applicazione del +regolamento (UE) 2022/2554 ai sensi dell'articolo 2, paragrafo 4, di tale regolamento. +11. +Gli obblighi stabiliti nella presente direttiva non comportano la fornitura di informazioni la cui divulgazione sia +contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa. +12. +La presente direttiva si applica fatti salvi il regolamento (UE) 2016/679, la direttiva 2002/58/CE, le direttive +2011/93/UE (27) e 2013/40/UE (28) del Parlamento europeo e del Consiglio e la direttiva (UE) 2022/2557. +13. +Fatto salvo l'articolo 346 TFUE, le informazioni riservate ai sensi della normativa dell'Unione o nazionale, quale +quella sulla riservatezza commerciale, sono scambiate con la Commissione e con altre autorità competenti conformemente +alla presente direttiva solo nella misura in cui tale scambio sia necessario ai fini dell'applicazione della presente direttiva. Le +informazioni scambiate sono limitate alle informazioni pertinenti e commisurate a tale scopo. Lo scambio di informazioni +tutela la riservatezza di dette informazioni e protegge la sicurezza e gli interessi commerciali di soggetti interessati. +(27) Direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo +sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio +(GU L 335 del 17.12.2011, pag. 1). +(28) Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di +informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8). + +L 333/110 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +14. +I soggetti, le autorità competenti, i punti di contatto unici e i CSIRT trattano i dati personali nella misura necessaria +ai fini della presente direttiva e conformemente al regolamento (UE) 2016/679, in particolare tale trattamento si basa +sull'articolo 6 dello stesso. +Il trattamento dei dati personali a norma della presente direttiva da parte dei fornitori di reti pubbliche di comunicazione +elettronica o dei fornitori di comunicazioni elettroniche accessibili al pubblico viene effettuato in conformità della +legislazione dell'Unione in materia di protezione dei dati e della legislazione dell'Unione in materia di riservatezza, +segnatamente la direttiva 2002/58/CE. + +Articolo 3 +Soggetti essenziali e importanti +1. + +Ai fini della presente direttiva, sono considerati soggetti essenziali i seguenti: + +a) soggetti di cui all'allegato I che superano i massimali per le medie imprese di cui all'articolo 2, paragrafo 1, dell'allegato +della raccomandazione 2003/361/CE; +b) prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi DNS, +indipendentemente dalle loro dimensioni; +c) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico +che si considerano medie imprese ai sensi dell'articolo 2, dell'allegato alla raccomandazione 2003/361/CE; +d) i soggetti della pubblica amministrazione di cui all'articolo 2, paragrafo 2, lettera f), punto i); +e) qualsiasi altro soggetto di cui all'allegato I o II che uno Stato membro identifica come soggetti essenziali ai sensi +dell'articolo 2, paragrafo 2, lettere da b) a e); +f) soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557, di cui all'articolo 2, paragrafo 3 della +presente direttiva; +g) se lo Stato membro lo prevede, i soggetti che tale Stato membro ha identificato prima del 16 gennaio 2023 come +operatori di servizi essenziali a norma della direttiva (UE) 2016/1148 o del diritto nazionale. +2. +Ai fini della presente direttiva, sono considerati soggetti importanti i soggetti di una tipologia elencata negli allegati I +o II che non sono considerati soggetti essenziali ai sensi del paragrafo 1 del presente articolo. Ciò comprende soggetti +identificati dagli Stati membri come soggetti importanti ai sensi dell'articolo 2, paragrafo 2, lettere da b) a e); +3. +Entro il 17 aprile 2025, gli Stati membri definiscono un elenco dei soggetti essenziali ed importanti nonché dei +soggetti che forniscono servizi di registrazione dei nomi di dominio. Successivamente, gli Stati membri riesaminano +l'elenco periodicamente, almeno ogni due anni e, se opportuno, lo aggiornano. +4. +Ai fini della compilazione dell'elenco di cui al paragrafo 3, gli Stati membri impongono alle entità di cui a tale +paragrafo di presentare alle autorità competenti almeno le informazioni seguenti: +a) il proprio nome; +b) l'indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail, le serie di IP e i numeri di telefono; +c) se del caso, i settori e sottosettori pertinenti di cui all'allegato I o II; e +d) se del caso, un elenco degli Stati membri in cui forniscono servizi che rientrano nell'ambito di applicazione della +presente direttiva. +I soggetti di cui al paragrafo 3 notificano tempestivamente qualsiasi modifica delle informazioni trasmesse a norma del +primo comma del presente paragrafo e in ogni caso entro due settimane dalla data della modifica. +La Commissione, assistita dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA), fornisce senza indebito ritardo +orientamenti e modelli relativi agli obblighi di cui al presente paragrafo. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/111 + +Gli Stati membri possono istituire meccanismi nazionali che consentano alle entità di registrarsi. +5. + +Entro il 17 aprile 2025 e successivamente ogni due anni, le autorità competenti notificano: + +a) alla Commissione e al gruppo di coordinamento, il numero dei soggetti essenziali e importanti elencati ai sensi del +paragrafo 3 per ciascun settore e sottosettore di cui all'allegato I o II; e +b) alla Commissione informazioni pertinenti sul numero di soggetti essenziali e importanti individuati ai sensi +dell'articolo 2, paragrafo 2, lettere da b) a e), sul settore e il sottosettore di cui all'allegato I o II cui appartengono, sul +tipo di servizio che forniscono e sulla fornitura, tra quelli stabiliti all'articolo 2, paragrafo 2, lettere da b) a e), ai sensi +dei quali sono stati individuati. +6. +Sino al 17 aprile 2025 e su richiesta della Commissione, gli Stati membri possono notificare alla Commissione i nomi +dei soggetti essenziali e importanti di cui al paragrafo 5, lettera b). + +Articolo 4 +Atti giuridici settoriali dell'Unione +1. +Qualora gli atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di +gestione dei rischi di cibersicurezza o di notificare gli incidenti significativi, nella misura in cui gli effetti di tali obblighi +siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, a tali soggetti non si applicano le pertinenti +disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VII. +Qualora gli atti giuridici settoriali dell'Unione non contemplino tutti i soggetti di un settore specifico che rientra +nell'ambito di applicazione della presente direttiva, le pertinenti disposizioni della presente direttiva continuano ad +applicarsi ai soggetti non contemplati da tali atti giuridici settoriali dell’Unione. +2. +I requisiti di cui al paragrafo 1 del presente articolo sono considerati di effetto equivalente agli obblighi stabiliti dalla +presente direttiva qualora: +a) gli effetti delle misure di gestione dei rischi di cibersicurezza siano almeno equivalenti a quelli delle misure di cui +all'articolo 21, paragrafi 1 e 2; oppure +b) l'atto giuridico settoriale dell'Unione preveda l'accesso immediato, se del caso automatico e diretto, alle notifiche degli +incidenti da parte dei CSIRT, delle autorità competenti o dei punti di contatto unici a norma della presente direttiva e +qualora gli obblighi di notifica degli incidenti significativi abbiano un effetto almeno equivalente a quelli di cui +all'articolo 23, paragrafi da 1 a 6, della presente direttiva. +3. +La Commissione, entro il 17 luglio 2023, fornisce orientamenti che chiariscano l'applicazione dei paragrafi 1 e 2. La +Commissione rivede tali orientamenti periodicamente. Nella preparazione di detti orientamenti, la Commissione tiene +conto delle osservazioni del gruppo di cooperazione e dell'ENISA. + +Articolo 5 +Armonizzazione minima +La presente direttiva non impedisce agli Stati membri di adottare o mantenere disposizioni che garantiscano un livello più +elevato di cibersicurezza, a condizione che tali disposizioni siano coerenti con gli obblighi degli Stati membri stabiliti dal +diritto dell’Unione. + +Articolo 6 +Definizioni +Ai fini della presente direttiva si applicano le definizioni seguenti: +1) + +«sistema informatico e di rete»: +a) una rete di comunicazione elettronica quale definita all'articolo 2, punto 1, della direttiva (UE) 2018/1972; + +L 333/112 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base a un +programma, un'elaborazione automatica di dati digitali; o +c) i dati digitali conservati, elaborati, estratti o trasmessi per mezzo degli elementi di cui alle lettere a) e b), ai fini del +loro funzionamento, del loro uso, della loro protezione e della loro manutenzione; +2) + +«sicurezza dei sistemi informatici e di rete»: la capacità dei sistemi informatici e di rete di resistere, con un determinato +livello di confidenza, agli eventi che potrebbero compromettere la disponibilità, l'autenticità, l'integrità o la +riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o +accessibili attraverso di essi; + +3) + +«cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; + +4) + +«strategia nazionale per la cibersicurezza»: un quadro coerente di uno Stato membro che prevede priorità e obiettivi +strategici in materia di cibersicurezza e la governance per il loro conseguimento in tale Stato membro; + +5) + +«quasi incidente»: un evento che avrebbe potuto compromettere la disponibilità, l'autenticità, l'integrità o la +riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili +attraverso di essi, ma che è stato efficacemente evitato o non si è verificato; + +6) + +«incidente»: un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza di dati conservati, +trasmessi o elaborati o dei servizi offerti dai sistemi informatici e di rete o accessibili attraverso di essi; + +7) + +«incidente di cibersicurezza su vasta scala»: un incidente che causa un livello di perturbazione superiore alla capacità di +uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri; + +8) + +«gestione degli incidenti»: le azioni e le procedure volte a prevenire, rilevare, analizzare e contenere un incidente o a +rispondervi e riprendersi da esso; + +9) + +«rischio»: la potenziale perdita o perturbazione causata da un incidente; è espresso come combinazione dell'entità di +tale perdita o perturbazione e della probabilità che l'incidente si verifichi; + +10) «minaccia informatica»: una minaccia informatica quale definita all'articolo 2, punto 8), del regolamento (UE) +2019/881; +11) «minaccia informatica significativa»: una minaccia informatica che, in base alle sue caratteristiche tecniche, si presume +possa avere un grave impatto sui sistemi informatici e di rete di un soggetto o degli utenti di tali servizi del soggetto +causando perdite materiali o immateriali considerevoli; +12) «prodotto TIC»: un prodotto TIC quale definito all'articolo 2, punto 12), del regolamento (UE) 2019/881; +13) «servizio TIC»: un servizio TIC quale definito all'articolo 2, punto 13), del regolamento (UE) 2019/881; +14) «processo TIC»: un processo TIC quale definito all'articolo 2, punto 14), del regolamento (UE) 2019/881; +15) «vulnerabilità»: un punto debole, una suscettibilità o un difetto di prodotti TIC o servizi TIC che può essere sfruttato da +una minaccia informatica; +16) «norma»: una norma quale definita all'articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento +europeo e del Consiglio (29); +17) «specifica tecnica»: una specifica tecnica quale definita all'articolo 2, punto 4), del regolamento (UE) n. 1025/2012; +(29) Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che +modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, +2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE +del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del 14.11.2012, pag. 12). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/113 + +18) «punto di interscambio internet»: un'infrastruttura di rete che consente l'interconnessione di più di due reti +indipendenti (sistemi autonomi), principalmente al fine di agevolare lo scambio del traffico internet, che fornisce +interconnessione soltanto ai sistemi autonomi e che non richiede che il traffico internet che passa tra qualsiasi coppia +di sistemi autonomi partecipanti passi attraverso un terzo sistema autonomo né altera o interferisce altrimenti con +tale traffico; +19) «sistema dei nomi di dominio» o «DNS»: un sistema di nomi gerarchico e distribuito che consente l'identificazione di +servizi e risorse su internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di inoltro e connettività +di internet al fine di accedere a tali servizi e risorse; +20) «fornitore di servizi DNS»: un soggetto che fornisce: +a) servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet; o +b) servizi di risoluzione dei nomi di dominio autorevoli per uso da parte di terzi, fatta eccezione per i server dei nomi +radice; +21) «registro dei nomi di dominio di primo livello» o «registro dei nomi TLD»: un soggetto cui è stato delegato uno +specifico dominio di primo livello (TLD) e che è responsabile dell'amministrazione di tale TLD, compresa la +registrazione dei nomi di dominio sotto tale TLD, e del funzionamento tecnico di tale TLD, compresi il +funzionamento dei server dei nomi, la manutenzione delle banche dati e la distribuzione dei file di zona TLD tra i +server dei nomi, indipendentemente dal fatto che una qualsiasi di tali operazioni sia effettuata dal soggetto stesso o sia +esternalizzata, ma escludendo le situazioni in cui i nomi TLD sono utilizzati da un registro esclusivamente per uso +proprio; +22) «soggetto che fornisce servizi di registrazione di nomi di dominio»: un registrar o un agente che agisce per conto di +registrar, come un fornitore o un rivenditore di servizi di registrazione per la privacy o di proxy; +23) «servizio digitale»: un servizio quale definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del +Parlamento europeo e del Consiglio (30); +24) «servizio fiduciario»: un servizio fiduciario quale definito all'articolo 3, punto 16), del regolamento (UE) n. 910/2014; +25) «prestatore di servizi fiduciari»: un prestatore di servizi fiduciari quale definito all'articolo 3, punto 19), del +regolamento (UE) n. 910/2014; +26) «servizio fiduciario qualificato»: un servizio fiduciario qualificato quale definito all'articolo 3, punto 17), del +regolamento (UE) n. 910/2014; +27) «prestatore di servizi fiduciari qualificato»: un prestatore di servizi fiduciari qualificato quale definito all'articolo 3, +punto 20), del regolamento (UE) n. 910/2014; +28) «mercato online»: un mercato online quale definito all'articolo 2, lettera n), della direttiva 2005/29/CE del Parlamento +europeo e del Consiglio (31); +29) «motore di ricerca online»: un motore di ricerca online quale definito all'articolo 2, punto 5), del regolamento (UE) +2019/1150 del Parlamento europeo e del Consiglio (32); +30) «servizio di cloud computing»: un servizio digitale che consente l'amministrazione su richiesta di un pool scalabile ed +elastico di risorse di calcolo condivisibili e l'ampio accesso remoto a quest'ultimo, anche ove tali risorse sono +distribuite in varie ubicazioni. +(30) Direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, che prevede una procedura d'informazione +nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241 del 17.9.2015, +pag. 1). +(31) Direttiva 2005/29/CE del Parlamento europeo e del Consiglio, dell'11 maggio 2005, relativa alle pratiche commerciali sleali delle +imprese nei confronti dei consumatori nel mercato interno e che modifica la direttiva 84/450/CEE del Consiglio e le direttive +97/7/CE, 98/27/CE e 2002/65/CE del Parlamento europeo e del Consiglio e il regolamento (CE) n. 2006/2004 del Parlamento +europeo e del Consiglio («direttiva sulle pratiche commerciali sleali») (GU L 149 dell'11.6.2005, pag. 22). +(32) Regolamento (UE) 2019/1150 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che promuove equità e trasparenza per gli +utenti commerciali dei servizi di intermediazione online (GU L 186 dell'11.7.2019, pag. 57). + +L 333/114 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +31) «servizio di data center»: un servizio che comprende strutture, o gruppi di strutture, dedicate a ospitare, interconnettere +e far funzionare in modo centralizzato apparecchiature informatiche e di rete che forniscono servizi di conservazione, +elaborazione e trasporto di dati insieme a tutti gli impianti e le infrastrutture per la distribuzione dell'energia e il +controllo ambientale; +32) «rete di distribuzione dei contenuti (content delivery network)»: una rete di server distribuiti geograficamente allo scopo di +garantire l'elevata disponibilità, l'accessibilità o la rapida distribuzione di contenuti e servizi digitali agli utenti di +internet per conto di fornitori di contenuti e servizi; +33) «piattaforma di servizi di social network»: una piattaforma che consente agli utenti finali di entrare in contatto, +condividere, scoprire e comunicare gli uni con gli altri su molteplici dispositivi, in particolare, attraverso chat, post, +video e raccomandazioni; +34) «rappresentante»: una persona fisica o giuridica stabilita nell'Unione espressamente designata ad agire per conto di un +fornitore di servizi DNS, un registro dei nomi TLD, un soggetto che fornisce servizi di registrazione di nomi di +dominio, un fornitore di servizi di cloud computing, un fornitore di servizi di data center, un fornitore di reti di +distribuzione dei contenuti, un fornitore di servizi gestiti, un fornitore di servizi di sicurezza gestiti, o un fornitore di +mercato online, di un motore di ricerca online o di una piattaforma di servizi di social network che non è stabilito +nell'Unione, a cui l'autorità nazionale competente o un CSIRT può rivolgersi in luogo del soggetto per quanto +riguarda gli obblighi di quest'ultimo a norma della presente direttiva; +35) «ente della pubblica amministrazione»: un soggetto riconosciuto come tale in uno Stato membro conformemente al +diritto nazionale, che non comprende la magistratura, i parlamenti e le banche centrali, che soddisfa i criteri seguenti: +a) è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale; +b) è dotato di personalità giuridica o è autorizzato per legge ad agire a nome di un altro soggetto dotato di personalità +giuridica; +c) è finanziato in modo maggioritario dallo Stato, da autorità regionali o da altri organismi di diritto pubblico, la sua +gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di amministrazione, di +direzione o di vigilanza in cui più della metà dei membri è designata dallo Stato, da autorità regionali o da altri +organismi di diritto pubblico; +d) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che +incidono sui loro diritti relativi alla circolazione transfrontaliera delle merci, delle persone, dei servizi o dei capitali; +36) «rete pubblica di comunicazione elettronica»: una rete pubblica di comunicazione elettronica quale definita +all'articolo 2, punto 8), della direttiva (UE) 2018/1972; +37) «servizio di comunicazione elettronica»: un servizio di comunicazione elettronica quale definito all'articolo 2, +punto 4), della direttiva (UE) 2018/1972; +38) «soggetto»: una persona fisica o giuridica, costituita e riconosciuta come tale conformemente al diritto nazionale +applicabile nel suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a +obblighi; +39) «fornitore di servizi gestiti»: un soggetto che fornisce servizi relativi all'installazione, alla gestione, al funzionamento o +alla manutenzione di prodotti, reti, infrastrutture, applicazioni TIC o di qualsiasi altro sistema informatico e di rete, +tramite assistenza o amministrazione attiva effettuata nei locali dei clienti o a distanza; +40) «fornitore di servizi di sicurezza gestiti»: un fornitore di servizi di sicurezza gestiti che svolge o fornisce assistenza per +attività relative alla gestione dei rischi di cibersicurezza; +41) «organismo di ricerca»: un soggetto che ha come obiettivo principale lo svolgimento di attività di ricerca applicata o di +sviluppo sperimentale al fine di sfruttare i risultati di tale ricerca a fini commerciali, ma che non comprende gli istituti +di istruzione. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/115 + +CAPO II +QUADRI COORDINATI IN MATERIA DI CIBERSICUREZZA + +Articolo 7 +Strategia nazionale per la cibersicurezza +1. +Ogni Stato membro adotta una strategia nazionale per la cibersicurezza che prevede gli obiettivi strategici e le risorse +necessarie per conseguirli, nonché adeguate misure strategiche e normative al fine di raggiungere e mantenere un livello +elevato di cibersicurezza. La strategia nazionale per la cibersicurezza comprende: +a) gli obiettivi e le priorità della strategia per la cibersicurezza dello Stato membro, che riguardano in particolare i settori di +cui agli allegati I e II; +b) un quadro di governance per la realizzazione degli obiettivi e delle priorità di cui alla lettera a) del presente paragrafo, +comprendente le misure strategiche di cui al paragrafo 2; +c) un quadro di governance che chiarisca i ruoli e le responsabilità dei pertinenti portatori di interessi a livello nazionale, a +sostegno della cooperazione e del coordinamento a livello nazionale tra le autorità competenti, i punti di contatto unici +e i CSIRT ai sensi della presente direttiva, nonché il coordinamento e la cooperazione tra tali organismi e le autorità +competenti ai sensi degli atti giuridici settoriali dell'Unione; +d) un meccanismo per individuare le risorse e una valutazione dei rischi nello Stato membro in questione; +e) l'individuazione delle misure volte a garantire la preparazione e la risposta agli incidenti e il successivo recupero dagli +stessi, inclusa la collaborazione tra i settori pubblico e privato; +f) un elenco delle diverse autorità e dei diversi portatori di interessi coinvolti nell'attuazione della strategia nazionale per la +cibersicurezza; +g) un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva +e le autorità competenti a norma della direttiva (UE) 2022/2557 ai fini della condivisione delle informazioni sui rischi, +le minacce e gli incidenti sia informatici che non informatici e dello svolgimento di compiti di vigilanza, se del caso; +h) un piano, comprendente le misure necessarie, per aumentare livello generale di consapevolezza dei cittadini in materia +di cibersicurezza. +2. +Nell'ambito della strategia nazionale per la cibersicurezza, gli Stati membri adottano in particolare misure strategiche +riguardanti: +a) la cibersicurezza nella catena di approvvigionamento dei prodotti e dei servizi TIC utilizzati da soggetti per la fornitura +dei loro servizi; +b) l'inclusione e la definizione di requisiti concernenti la cibersicurezza per i prodotti e i servizi TIC negli appalti pubblici, +compresi i requisiti relativi alla certificazione della cibersicurezza, alla cifratura e l'utilizzo di prodotti di cibersicurezza +open source; +c) la gestione delle vulnerabilità, ivi comprese la promozione e l'agevolazione della divulgazione coordinata delle +vulnerabilità ai sensi dell'articolo 12, paragrafo 1; +d) il sostegno della disponibilità generale, dell'integrità e della riservatezza del carattere fondamentale pubblico di una rete +internet aperta, compresa, se del caso, la cibersicurezza dei cavi di comunicazione sottomarini; +e) la promozione dello sviluppo e dell'integrazione di tecnologie avanzate pertinenti miranti ad attuare misure di +avanguardia nella gestione dei rischi di cibersicurezza; +f) la promozione e lo sviluppo di attività di istruzione, formazione e sensibilizzazione, di competenze e di iniziative di +ricerca e sviluppo in materia di cibersicurezza, nonché orientamenti sulle buone pratiche e sui controlli concernenti +l'igiene informatica, destinati ai cittadini, ai portatori di interessi e ai soggetti; + +L 333/116 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +g) il sostegno agli istituti accademici e di ricerca volto a sviluppare, rafforzare e promuovere la diffusione di strumenti di +cibersicurezza e di infrastrutture di rete sicure; +h) la messa a punto di procedure pertinenti e strumenti adeguati di condivisione delle informazioni per sostenere la +condivisione volontaria di informazioni sulla cibersicurezza tra soggetti, nel rispetto del diritto dell'Unione; +i) il rafforzamento dei valori di riferimento relativi alla ciberresilienza e all'igiene informatica delle PMI, in particolare +quelle escluse dall'ambito di applicazione della presente direttiva, fornendo orientamenti e sostegno facilmente +accessibili per le loro esigenze specifiche; +j) la promozione di una protezione informatica attiva. +3. +Gli Stati membri notificano le loro strategie nazionali per la cibersicurezza alla Commissione entro tre mesi +dall'adozione. Gli Stati membri possono omettere dalla notifica informazioni relative alla propria sicurezza nazionale. +4. +Gli Stati membri valutano le proprie strategie nazionali per la cibersicurezza periodicamente e almeno ogni cinque +anni sulla base di indicatori chiave di prestazione e, se necessario, le aggiornano. L'ENISA assiste gli Stati membri, su +richiesta di questi ultimi, nell'elaborazione o aggiornamento di una strategia nazionale per la cibersicurezza e di indicatori +chiave di prestazione per la relativa valutazione, onde allinearla ai requisiti e agli obblighi di cui alla presente direttiva. + +Articolo 8 +Autorità competenti e punti di contatto unici +1. +Ogni Stato membro designa o istituisce una o più autorità competenti responsabili della cibersicurezza e dei compiti +di vigilanza di cui al capo VII (autorità competenti). +2. + +Le autorità competenti di cui al paragrafo 1 controllano l'attuazione della presente direttiva a livello nazionale. + +3. +Ogni Stato membro designa o istituisce un punto di contatto unico. Se uno Stato membro designa o istituisce +soltanto un'autorità competente a norma del paragrafo 1, quest'ultima è anche il punto di contatto unico per tale Stato +membro. +4. +Ogni punto di contatto unico svolge una funzione di collegamento per garantire la cooperazione transfrontaliera +delle autorità del relativo Stato membro con le autorità pertinenti degli altri Stati membri, e, ove opportuno, con la +Commissione e l'ENISA, nonché per garantire la cooperazione intersettoriale con altre autorità competenti dello stesso +Stato membro. +5. +Gli Stati membri garantiscono che le proprie autorità competenti e i propri punti di contatto unici siano dotati di +risorse adeguate per svolgere in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli +obiettivi della presente direttiva. +6. +Ogni Stato membro notifica alla Commissione, senza indebiti ritardi, l'identità dell'autorità competente di cui al +paragrafo 1 e del punto di contatto unico di cui al paragrafo 3, i compiti di tali autorità e qualsiasi ulteriore modifica dei +medesimi. Ciascuno Stato membro rende pubblica l'identità della propria autorità competente. La Commissione elabora +un elenco dei punti di contatto unici disponibili. + +Articolo 9 +Quadri nazionali di gestione delle crisi informatiche +1. +Ogni Stato membro designa o istituisce una o più autorità competenti responsabili della gestione degli incidenti e +delle crisi di cibersicurezza su vasta scala (autorità di gestione delle crisi informatiche). Gli Stati membri provvedono +affinché tali autorità dispongano di risorse adeguate per svolgere i compiti loro assegnati in modo efficace ed efficiente. Gli +Stati membri assicurano la coerenza con i quadri nazionali esistenti di gestione generale delle crisi. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/117 + +2. +Se uno Stato membro designa o istituisce più di un'autorità di gestione delle crisi informatiche ai sensi del +paragrafo 1, esso indica chiaramente quale di tali autorità deve fungere da coordinatore per la gestione di incidenti e crisi di +cibersicurezza su vasta scala. +3. +Ogni Stato membro individua le capacità, le risorse e le procedure che possono essere impiegate in caso di crisi ai fini +della presente direttiva. +4. +Ogni Stato membro adotta un piano nazionale di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala in +cui sono stabiliti gli obiettivi e le modalità della gestione degli incidenti e delle crisi di cibersicurezza su vasta scala. In tale +piano sono definiti, in particolare: +a) gli obiettivi delle misure e delle attività nazionali di preparazione; +b) i compiti e le responsabilità delle autorità di gestione delle crisi informatiche; +c) le procedure di gestione delle crisi informatiche, tra cui la loro integrazione nel quadro nazionale generale di gestione +delle crisi e i canali di scambio di informazioni; +d) le misure nazionali di preparazione, comprese le esercitazioni e le attività di formazione; +e) i pertinenti portatori di interessi del settore pubblico e privato e le infrastrutture coinvolte; +f) le procedure nazionali e gli accordi tra gli organismi e le autorità nazionali pertinenti al fine di garantire il sostegno e la +partecipazione effettivi dello Stato membro alla gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta +scala a livello dell'Unione. +5. +Entro tre mesi dalla designazione o istituzione dell'autorità di gestione delle crisi informatiche di cui al paragrafo 1, +ciascuno Stato membro notifica alla Commissione l'identità della propria autorità e qualsiasi ulteriore modifica alla stessa. +Gli Stati membri presentano alla Commissione e alla rete europea delle organizzazioni di collegamento per le crisi +informatiche (EU-CyCLONe) le informazioni pertinenti relative ai requisiti di cui al paragrafo 4 in merito ai propri piani +nazionali di risposta agli incidenti e delle crisi di cibersicurezza su vasta scala entro tre mesi dall'adozione di tali piani. Gli +Stati membri possono omettere informazioni se e nella misura in cui ciò sia necessario ai fini della loro sicurezza nazionale. + +Articolo 10 +Team di risposta agli incidenti di sicurezza informatica (CSIRT) +1. +Ogni Stato membro designa o istituisce uno o più CSIRT. È possibile designare o istituire i CSIRT all'interno di +un'autorità competente. I CSIRT sono conformi ai requisiti di cui all'articolo 11, paragrafo 1, si occupano almeno dei +settori, dei sottosettori e dei tipi di soggetto di cui agli allegati I e II e sono responsabili della gestione degli incidenti +conformemente a una procedura ben definita. +2. +Gli Stati membri provvedono affinché ogni CSIRT disponga di risorse adeguate per svolgere efficacemente i suoi +compiti di cui all'articolo 11, paragrafo 3. +3. +Gli Stati membri provvedono affinché ogni CSIRT disponga di un'infrastruttura di informazione e comunicazione +adeguata, sicura e resiliente attraverso la quale scambiare informazioni con i soggetti essenziali e importanti e con gli altri +portatori di interesse pertinenti. A tal fine gli Stati membri provvedono affinché ogni CSIRT contribuisca allo sviluppo di +strumenti sicuri per la condivisione delle informazioni. +4. +I CSIRT cooperano e, se opportuno, scambiano informazioni pertinenti conformemente all'articolo 29 con comunità +settoriali o intersettoriali di soggetti essenziali e importanti. +5. + +I CSIRT partecipano alle revisioni tra pari organizzate conformemente all'articolo 19. + +6. + +Gli Stati membri garantiscono la collaborazione effettiva, efficiente e sicura dei loro CSIRT nella rete di CSIRT. + +L 333/118 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +7. +I CSIRT possono stabilire relazioni di cooperazione con team nazionali di risposta agli incidenti di sicurezza +informatica di paesi terzi. Nell'ambito di tali relazioni di cooperazione, gli Stati membri facilitano uno scambio di +informazioni efficace, efficiente e sicuro con tali team nazionali di risposta agli incidenti di sicurezza informatica di paesi +terzi, utilizzando i pertinenti protocolli di condivisione delle informazioni, compreso il protocollo TLP (Traffic Light +Protocol). I CSIRT possono scambiare informazioni pertinenti con team nazionali di risposta agli incidenti di sicurezza +informatica di paesi terzi, compresi dati personali a norma del diritto dell'Unione in materia di protezione dei dati. +8. +I CSIRT possono cooperare con team nazionali di risposta agli incidenti di sicurezza informatica di paesi terzi o con +organismi equivalenti di paesi terzi, in particolare al fine di fornire loro assistenza in materia di cibersicurezza. +9. +Ogni Stato membro notifica alla Commissione senza indebiti ritardi l'identità del CSIRT di cui al paragrafo 1 del +presente articolo e del CSIRT designato come coordinatore conformemente all'articolo 12, paragrafo 1, i rispettivi compiti +in relazione ai soggetti essenziali e importanti e qualsiasi ulteriore modifica dei medesimi. +10. + +Gli Stati membri possono chiedere l'assistenza dell'ENISA nello sviluppo dei CSIRT. + +Articolo 11 +Requisiti, capacità tecniche e compiti dei CSIRT +1. + +I CSIRT soddisfano i requisiti seguenti: + +a) i CSIRT garantiscono un alto livello di disponibilità dei propri canali di comunicazione evitando singoli punti di +vulnerabilità (single points of failure) e dispongono di vari mezzi che permettono loro di essere contattati e di contattare +altri in qualsiasi momento; essi indicano chiaramente i canali di comunicazione e li rendono noti alla loro base di utenti +e ai partner con cui collaborano; +b) i locali e i sistemi informatici di supporto dei CSIRT sono ubicati in siti sicuri; +c) i CSIRT sono dotati di un sistema adeguato di gestione e inoltro delle richieste, in particolare per facilitare i trasferimenti +in maniera efficace ed efficiente; +d) i CSIRT garantiscono la riservatezza e l'affidabilità delle loro operazioni; +e) i CSIRT dispongono di personale sufficiente per garantire la disponibilità dei loro servizi in qualsiasi momento e +garantiscono che il loro personale sia formato in modo appropriato; +f) i CSIRT sono dotati di sistemi ridondanti e spazi di lavoro di backup al fine di garantire la continuità dei loro servizi. +I CSIRT hanno la possibilità di partecipare a reti di cooperazione internazionale. +2. +Gli Stati membri assicurano che i loro CSIRT dispongano congiuntamente delle capacità tecniche necessarie a +svolgere i compiti di cui al paragrafo 3. Gli Stati membri provvedono affinché ai propri CSIRT siano assegnate risorse +sufficienti per garantire un organico adeguato al fine di consentire ai CSIRT di sviluppare le proprie capacità tecniche. +3. + +I CSIRT svolgono i compiti seguenti: + +a) monitorano e analizzano le minacce informatiche, le vulnerabilità e gli incidenti a livello nazionale, e, su richiesta, +forniscono assistenza ai soggetti essenziali e importanti interessati per quanto riguarda il monitoraggio in tempo reale +o prossimo al reale dei loro sistemi informatici e di rete; +b) emettono preallarmi, allerte e bollettini e divulgano informazioni ai soggetti essenziali e importanti interessati, nonché +alle autorità competenti e agli altri pertinenti portatori di interessi, in merito a minacce informatiche, vulnerabilità e +incidenti, se possibile in tempo prossimo al reale; +c) forniscono una risposta agli incidenti e forniscono assistenza ai soggetti essenziali e importanti interessati, se del caso; +d) raccolgono e analizzano dati forensi e forniscono un'analisi dinamica dei rischi e degli incidenti, nonché una +consapevolezza situazionale riguardo alla cibersicurezza; + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/119 + +e) effettuano, su richiesta di un soggetto essenziale o importante, una scansione proattiva dei sistemi informatici e di rete +del soggetto interessato per rilevare le vulnerabilità con potenziale impatto significativo; +f) partecipano alla rete di CSIRT e forniscono assistenza reciproca secondo le loro capacità e competenze agli altri membri +della rete di CSIRT su loro richiesta. +g) se del caso, agiscono in qualità di coordinatore ai fini del processo di divulgazione coordinata delle vulnerabilità di cui +all'articolo 12, paragrafo 1; +h) contribuiscono allo sviluppo di strumenti sicuri per la condivisione delle informazioni di cui all'articolo 10, paragrafo 3. + +I CSIRT possono effettuare una scansione proattiva e non intrusiva dei sistemi informatici e di rete accessibili al pubblico di +soggetti essenziali e importanti. Tale scansione è effettuata per individuare sistemi informatici e di rete vulnerabili o +configurati in modo non sicuro e per informare i soggetti interessati. Tale scansione non ha alcun impatto negativo sul +funzionamento dei servizi dei soggetti. + +Nello svolgimento dei compiti di cui al primo comma, i CSIRT possono dare priorità a determinati compiti sulla base di un +approccio basato sul rischio. + +4. +I CSIRT instaurano rapporti di cooperazione con i pertinenti portatori di interesse del settore privato al fine di +perseguire gli obiettivi della presente direttiva. + +5. +Al fine di agevolare la cooperazione di cui al paragrafo 4, i CSIRT promuovono l'adozione e l'uso di pratiche, sistemi +di classificazione e tassonomie standardizzati o comuni per quanto riguarda: +a) le procedure di gestione degli incidenti; +b) la gestione delle crisi; e +c) la divulgazione coordinata delle vulnerabilità ai sensi dell'articolo 12, paragrafo 1. + +Articolo 12 + +Divulgazione coordinata delle vulnerabilità e banca dati europea delle vulnerabilità + +1. +Ogni Stato membro designa uno dei propri CSIRT come coordinatore ai fini della divulgazione coordinata delle +vulnerabilità. Il CSIRT designato agisce da intermediario di fiducia agevolando, se necessario, l'interazione tra la persona +fisica o giuridica che segnala la vulnerabilità e il fabbricante o fornitore di servizi TIC o prodotti TIC potenzialmente +vulnerabili, su richiesta di una delle parti. I compiti del CSIRT designato come coordinatore comprendono: +a) l'individuazione e il contatto dei soggetti interessati; +b) l'assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità, e +c) la negoziazione dei tempi di divulgazione e la gestione delle vulnerabilità che interessano più soggetti. + +Gli Stati membri provvedono affinché le persone fisiche o giuridiche possano segnalare in forma anonima, qualora lo +richiedano, una vulnerabilità al CSIRT designato come coordinatore. Il CSIRT designato come coordinatore garantisce lo +svolgimento di diligenti azioni per dare seguito alla segnalazione di vulnerabilità e assicura l'anonimato della persona fisica +o giuridica segnalante. Se la vulnerabilità segnalata è suscettibile di avere un impatto significativo su soggetti in più di uno +Stato membro, il CSIRT designato di ciascuno Stato membro interessato coopera, se del caso, con altri CSIRT designati in +qualità di coordinatori nell'ambito della rete di CSIRT. + +L 333/120 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +2. +L'ENISA elabora e mantiene, previa consultazione del gruppo di cooperazione, una banca dati europea delle +vulnerabilità. A tal fine l'ENISA istituisce e gestisce i sistemi informatici, le misure strategiche e le procedure adeguati e +adotta le necessarie misure tecniche e organizzative per garantire la sicurezza e l'integrità della banca dati europea delle +vulnerabilità, in particolare al fine di consentire ai soggetti, indipendentemente dal fatto che ricadano o meno nell'ambito +di applicazione della presente direttiva, e ai relativi fornitori di sistemi informatici e di rete, di divulgare e registrare, su base +volontaria, le vulnerabilità pubblicamente note presenti nei prodotti TIC o nei servizi TIC. Tutti i portatori di interessi +hanno accesso alle informazioni sulle vulnerabilità contenute nella banca dati europea delle vulnerabilità. La banca dati +contiene: +a) informazioni che illustrano la vulnerabilità; +b) i prodotti TIC o i servizi TIC interessati e la gravità della vulnerabilità in termini di circostanze nelle quali potrebbe essere +sfruttata; +c) la disponibilità di relative patch e, qualora queste non fossero disponibili, gli orientamenti forniti dalle autorità nazionali +competenti o dai CSIRT rivolti agli utenti dei prodotti TIC e dei servizi TIC vulnerabili sulle possibili modalità di +attenuazione dei rischi derivanti dalle vulnerabilità divulgate. + +Articolo 13 + +Cooperazione a livello nazionale + +1. +Se sono separati, le autorità competenti, il punto di contatto unico e i CSIRT dello stesso Stato membro collaborano +per quanto concerne l'adempimento degli obblighi di cui alla presente direttiva. + +2. +Gli Stati membri provvedono affinché i loro CSIRT o, se del caso, le loro autorità competenti, ricevano le notifiche +degli incidenti significativi a norma dell'articolo 23, nonché degli incidenti, delle minacce informatiche e dei quasi incidenti +(near miss) a norma dell'articolo 30. + +3. +Gli Stati membri provvedono affinché i loro CSIRT o, se del caso, le loro autorità competenti informino i loro punti di +contatto unico delle notifiche relative agli incidenti, alle minacce informatiche e ai quasi incidenti trasmesse a norma della +presente direttiva. + +4. +Al fine di garantire l'efficace adempimento dei compiti e degli obblighi delle autorità competenti, dei punti di contatto +unici e dei CSIRT, gli Stati membri, nella misura del possibile, provvedono affinché, all'interno di ciascuno Stato membro, vi +sia un'adeguata cooperazione tra i suddetti organismi e le autorità di contrasto, le autorità di protezione dei dati, le autorità +nazionali ai sensi dei regolamenti (CE) n. 300/2008 e (UE) 2018/1139, gli organismi di vigilanza a norma del regolamento +(UE) n. 910/2014, le autorità competenti a norma del regolamento (UE) 2022/2554, le autorità nazionali di +regolamentazione a norma della direttiva (UE) 2018/1972, le autorità competenti a norma della direttiva (UE) 2022/2557, +nonché le autorità competenti ai sensi di altri atti giuridici settoriali dell'Unione. + +5. +Gli Stati membri provvedono affinché le loro autorità competenti a norma della presente direttiva e le loro autorità +competenti a norma della direttiva (UE) 2022/2557 collaborino e si scambino periodicamente informazioni riguardo +all'identificazione di soggetti critici, sui rischi, sulle minacce e sugli incidenti sia informatici che non informatici che +interessano i soggetti essenziali identificati come critici a norma della direttiva (UE) 2022/2557, e sulle misure adottate in +risposta a tali rischi, minacce e incidenti. Gli Stati membri provvedono inoltre affinché le loro autorità competenti a norma +della presente direttiva e le loro autorità competenti a norma del regolamento (UE) n. 910/2014, del regolamento +(UE) 2022/2554 e della direttiva (UE) 2018/1972 si scambino periodicamente informazioni pertinenti, anche per quanto +riguarda gli incidenti e le minacce informatiche rilevanti. + +6. + +Gli Stati membri semplificano la comunicazione mediante i mezzi tecnici per le notifiche di cui agli articoli 23 e 30. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/121 + +CAPO III +COOPERAZIONE A LIVELLO DELL'UNIONE E INTERNAZIONALE + +Articolo 14 +Gruppo di cooperazione +1. +Al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra gli Stati membri, nonché di +rafforzare la fiducia, è istituito un gruppo di cooperazione. +2. + +Il gruppo di cooperazione svolge i suoi compiti sulla base di programmi di lavoro biennali di cui al paragrafo 7. + +3. +Il gruppo di cooperazione è composto da rappresentanti degli Stati membri, della Commissione e dell'ENISA. Il +Servizio europeo per l'azione esterna partecipa alle attività del gruppo di cooperazione in qualità di osservatore. Le +autorità europee di vigilanza (AEV) e le autorità competenti a norma del regolamento (UE) 2022/2554 possono +partecipare alle attività del gruppo di cooperazione conformemente all'articolo 47, paragrafo 1, di tale regolamento. +Ove opportuno, il gruppo di cooperazione può invitare a partecipare ai suoi lavori il Parlamento europeo e i rappresentanti +dei pertinenti portatori di interessi. +La Commissione ne assicura il segretariato. +4. + +Il gruppo di cooperazione svolge i compiti seguenti: + +a) fornire orientamenti alle autorità competenti in merito al recepimento e all'attuazione della presente direttiva; +b) fornire orientamenti alle autorità competenti in merito allo sviluppo e all'attuazione di politiche in materia di +divulgazione coordinata delle vulnerabilità di cui all'articolo 7, paragrafo 2, lettera c); +c) scambiare migliori prassi e informazioni relative all'attuazione della presente direttiva, anche per quanto riguarda +minacce informatiche, incidenti, vulnerabilità, quasi incidenti, iniziative di sensibilizzazione, attività di formazione, +esercitazioni e competenze, sviluppo di capacità, norme e specifiche tecniche, nonché l'identificazione dei soggetti +essenziali e importanti ai sensi dell'articolo 2, paragrafo 2, lettere da b) a e); +d) effettuare scambi di consulenza e cooperare con la Commissione per quanto riguarda le nuove iniziative strategiche in +materia di cibersicurezza e la coerenza globale dei requisiti settoriali di cibersicurezza; +e) effettuare scambi di consulenza e cooperare con la Commissione per quanto riguarda i progetti di atti delegati o di +esecuzione adottati a norma della presente direttiva; +f) + +scambiare migliori prassi e informazioni con le istituzioni, gli organismi, gli uffici e le agenzie pertinenti dell'Unione; + +g) effettuare scambi di opinioni per quanto riguarda l'attuazione degli atti giuridici settoriali dell'Unione che contengono +disposizioni in materia di cibersicurezza; +h) se del caso, discutere le relazioni sulle revisioni tra pari di cui all'articolo 19, paragrafo 9 ed elaborare conclusioni e +raccomandazioni; +i) + +effettuare valutazioni coordinate dei rischi per la sicurezza di catene di approvvigionamento critiche conformemente +all'articolo 22, paragrafo 1; + +j) + +discutere i casi di assistenza reciproca, fra cui le esperienze e i risultati delle azioni di vigilanza comuni transfrontaliere +di cui all'articolo 37; + +k) su richiesta di uno o più Stati membri interessati, discutere le richieste specifiche di assistenza reciproca di cui +all'articolo 37; +l) + +fornire orientamenti strategici alla rete di CSIRT ed EU–CyCLONe su specifiche questioni emergenti; + +L 333/122 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +m) effettuare scambi di opinioni sulla politica in materia di azioni di follow-up a seguito incidenti e crisi di cibersicurezza +su vasta scala sulla base degli insegnamenti tratti dalla rete di CSIRT e da EU-CyCLONe; +n) contribuire alle capacità di cibersicurezza in tutta l'Unione agevolando lo scambio di funzionari nazionali attraverso un +programma di sviluppo delle capacità che coinvolga il personale delle autorità competenti o dei CSIRT; +o) organizzare riunioni congiunte periodiche con i pertinenti portatori di interessi del settore privato di tutta l'Unione per +discutere le attività svolte dal gruppo di cooperazione e raccogliere contributi sulle sfide strategiche emergenti; +p) discutere le attività intraprese per quanto riguarda le esercitazioni di cibersicurezza, compreso il lavoro svolto +dall'ENISA; +q) stabilire la metodologia e gli aspetti organizzativi delle revisioni tra pari di cui all'articolo 19, paragrafo 1, nonché +stabilire, con l'assistenza della Commissione e dell'ENISA, la metodologia di autovalutazione per gli Stati membri a +norma dell'articolo 19, paragrafo 4, ed elaborare, in collaborazione con la Commissione e l'ENISA, i codici di condotta +su cui si basano i metodi di lavoro degli esperti di cibersicurezza designati a norma dell'articolo 19, paragrafo 6; +r) + +elaborare relazioni, ai fini del riesame di cui all'articolo 40, sull'esperienza acquisita a livello strategico e dalle revisioni +tra pari; + +s) + +discutere e svolgere periodicamente una valutazione dello stato di avanzamento delle minacce o degli incidenti +informatici, come il ransomware. + +Il gruppo di cooperazione presenta le relazioni di cui al primo comma, lettera r), alla Commissione, al Parlamento europeo +e al Consiglio. +5. +Gli Stati membri garantiscono la collaborazione effettiva, efficiente e sicura dei loro rappresentanti in seno al gruppo +di cooperazione. +6. + +Il gruppo di cooperazione può richiedere alla rete di CSIRT una relazione tecnica su argomenti selezionati. + +7. +Entro il 1o febbraio 2024 e successivamente ogni due anni, il gruppo di cooperazione stabilisce un programma di +lavoro sulle azioni da intraprendere per realizzare i propri obiettivi e compiti. +8. +La Commissione può adottare atti di esecuzione che stabiliscono le modalità procedurali necessarie per il +funzionamento del gruppo di cooperazione. +Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. +La Commissione scambia pareri e coopera con il gruppo di cooperazione in merito ai progetti di atto di esecuzione di cui al +primo comma del presente paragrafo, conformemente al paragrafo 4, lettera e). +9. +Il gruppo di cooperazione si riunisce periodicamente, e in ogni caso una volta all'anno, con il gruppo per la resilienza +dei soggetti critici istituito a norma della direttiva (UE) 2022/2557 al fine di promuovere e agevolare la cooperazione +strategica e lo scambio di informazioni. + +Articolo 15 +Rete di CSIRT +1. +Al fine di contribuire allo sviluppo della fiducia e di promuovere una cooperazione operativa rapida ed efficace fra gli +Stati membri, è istituita una rete dei CSIRT nazionali. +2. +La rete di CSIRT è composta da rappresentanti dei CSIRT designati o istituiti a norma dell'articolo 10 e della squadra +di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'Unione (CERT-UE). La Commissione +partecipa alla rete di CSIRT in qualità di osservatore. L'ENISA ne assicura il segretariato e fornisce attivamente assistenza +alla cooperazione fra i CSIRT. + +27.12.2022 + +3. + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/123 + +La rete di CSIRT svolge i compiti seguenti: + +a) scambiare informazioni per quanto riguarda le capacità dei CSIRT; +b) agevolare la condivisione, il trasferimento e lo scambio di tecnologia e delle misure, delle politiche, degli strumenti, dei +processi, delle migliori pratiche e dei quadri pertinenti fra i CSIRT; +c) scambiare informazioni pertinenti per quanto riguarda gli incidenti, i quasi incidenti, le minacce informatiche, i rischi e +le vulnerabilità; +d) scambiare informazioni in merito alle pubblicazioni e alle raccomandazioni in materia di cibersicurezza; +e) garantire l'interoperabilità per quanto riguarda le specifiche e i protocolli per lo scambio di informazioni; +f) + +su richiesta di un membro della rete di CSIRT potenzialmente interessato da un incidente, scambiare e discutere +informazioni relative a tale incidente e alle minacce informatiche, ai rischi e alle vulnerabilità associati; + +g) su richiesta di un membro della rete di CSIRT, discutere e, ove possibile, attuare una risposta coordinata a un incidente +identificato nella giurisdizione di tale Stato membro; +h) fornire assistenza agli Stati membri nel far fronte a incidenti transfrontalieri a norma della presente direttiva; +i) + +cooperare e scambiare migliori pratiche con i CSIRT designati in qualità di coordinatori di cui all'articolo 12, +paragrafo 1, nonché fornire loro assistenza per quanto riguarda la gestione della divulgazione coordinata di +vulnerabilità che potrebbero avere un impatto significativo su soggetti in più di uno Stato membro; + +j) + +discutere e individuare ulteriori forme di cooperazione operativa, anche in relazione a: +i) + +categorie di minacce informatiche e incidenti; + +ii) preallarmi; +iii) assistenza reciproca; +iv) principi e modalità di coordinamento in risposta a rischi e incidenti transfrontalieri; +v) contributi al piano nazionale di risposta agli incidenti e alle crisi di cibersicurezza su vasta scala di cui all'articolo 9, +paragrafo 4, su richiesta di uno Stato membro; +k) informare il gruppo di cooperazione sulle proprie attività e sulle ulteriori forme di cooperazione operativa discusse a +norma della lettera j) e, se necessario, chiedere orientamenti in merito; +l) + +fare il punto sui risultati delle esercitazioni di cibersicurezza, comprese quelle organizzate dall'ENISA; + +m) su richiesta di un singolo CSIRT, discutere le capacità e lo stato di preparazione di tale CSIRT; +n) cooperare e scambiare informazioni con i centri operativi di sicurezza regionali e a livello dell'UE al fine di migliorare la +consapevolezza situazionale comune sugli incidenti e le minacce informatiche in tutta l'Unione; +o) se del caso, discutere le relazioni sulle revisioni tra pari di cui all'articolo 19, paragrafo 9; +p) fornire orientamenti volti ad agevolare la convergenza delle pratiche operative in relazione all'applicazione delle +disposizioni del presente articolo in materia di cooperazione operativa. + +4. +Entro il 17 gennaio 2025, e successivamente ogni due anni, ai fini del riesame di cui all'articolo 40, la rete di CSIRT +valuta i progressi compiuti nella cooperazione operativa ed elabora una relazione. Nella relazione, in particolare, vengono +elaborate conclusioni e raccomandazioni sulla base del risultato delle revisioni tra pari di cui all'articolo 19, che sono +effettuate in relazione ai CSIRT nazionali. Tale relazione è trasmessa al gruppo di cooperazione. + +L 333/124 + +IT + +Gazzetta ufficiale dell’Unione europea + +5. + +La rete di CSIRT adotta il proprio regolamento interno. + +6. + +La rete di CSIRT ed EU-CyCLONe concordano le modalità procedurali e cooperano su tale base. + +27.12.2022 + +Articolo 16 +Rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) +1. +EU-CyCLONe è istituita al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di +cibersicurezza su vasta scala e di garantire il regolare scambio di informazioni pertinenti tra gli Stati membri e le +istituzioni, gli organi e gli organismi dell'Unione. +2. +EU-CyCLONe è composta da rappresentanti delle autorità di gestione delle crisi informatiche degli Stati membri e, nei +casi in cui un incidente di cibersicurezza su vasta scala potenziale o in corso abbia o abbia probabilità di avere un impatto +significativo sui servizi e sulle attività che rientrano nell'ambito di applicazione della presente direttiva, della Commissione. +Negli altri casi, la Commissione partecipa alle attività di EU-CyCLONe in qualità di osservatore. +L'ENISA assicura il segretariato di EU-CyCLONe e sostiene lo scambio sicuro di informazioni, oltre a fornire gli strumenti +necessari per sostenere la cooperazione tra gli Stati membri garantendo uno scambio sicuro di informazioni. +Ove opportuno, EU-CyCLONe può invitare i rappresentanti dei pertinenti portatori di interessi a partecipare ai suoi lavori +in qualità di osservatori. +3. + +EU-CyCLONe svolge i compiti seguenti: + +a) aumentare il livello di preparazione per la gestione di crisi e incidenti su vasta scala; +b) sviluppare una conoscenza situazionale condivisa in merito agli incidenti e alle crisi di cibersicurezza su vasta scala; +c) valutare le conseguenze e l'impatto dei pertinenti incidenti e delle pertinenti crisi di cibersicurezza su vasta scala e +proporre possibili misure di attenuazione; +d) coordinare la gestione degli incidenti e delle crisi di cibersicurezza su vasta scala e sostenere il processo decisionale a +livello politico in merito a tali incidenti e crisi; +e) discutere, su richiesta di uno Stato membro interessato, i piani nazionali di risposta agli incidenti e alle crisi di +cibersicurezza su vasta scala di cui all'articolo 9, paragrafo 4. +4. + +EU-CyCLONe adotta il proprio regolamento interno. + +5. +EU-CyCLONe riferisce periodicamente al gruppo di cooperazione in merito alla gestione degli incidenti e delle crisi di +cibersicurezza su vasta scala, nonché in merito alle tendenze, concentrandosi in particolare sul relativo impatto sui soggetti +essenziali e importanti. +6. +EU-CyCLONe coopera con la rete di CSIRT sulla base di modalità procedurali concordate previste all'articolo 15, +paragrafo 6. +7. +Entro il 17 luglio 2024 e successivamente ogni 18 mesi, EU-CyCLONe presenta al Parlamento europeo e al Consiglio +una relazione di valutazione del proprio lavoro. + +Articolo 17 +Cooperazione internazionale +Ove opportuno, l'Unione può concludere accordi internazionali, conformemente all'articolo 218 TFUE, con paesi terzi o +organizzazioni internazionali, che consentano e organizzino la loro partecipazione ad attività particolari del gruppo di +cooperazione, della rete di CSIRT e di EU-CyCLONe. Tali accordi sono conformi al diritto dell'Unione in materia di +protezione dei dati. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/125 + +Articolo 18 +Relazione sullo stato della cibersicurezza nell'Unione +1. +L'ENISA, in collaborazione con la Commissione e con il gruppo di cooperazione, pubblica una relazione biennale +sullo stato della cibersicurezza nell'Unione e la presenta al Parlamento europeo. La relazione è resa disponibile, fra l'altro, +in un formato leggibile meccanicamente e comprende gli aspetti seguenti: +a) una valutazione del rischio di cibersicurezza a livello dell'Unione, che tenga conto del panorama delle minacce +informatiche; +b) una valutazione dello sviluppo delle capacità di cibersicurezza nei settori pubblico e privato nell'Unione; +c) una valutazione del livello generale di consapevolezza in materia di cibersicurezza e di igiene informatica tra i cittadini e +i soggetti, comprese le piccole e medie imprese; +d) una valutazione aggregata del risultato delle revisioni tra pari di cui all'articolo 19; +e) una valutazione aggregata del livello di maturità delle capacità e delle risorse di cibersicurezza nell'Unione, comprese +quelle a livello settoriale, nonché del livello di allineamento delle strategie nazionali di cibersicurezza degli Stati membri. +2. +La relazione contiene raccomandazioni strategiche specifiche, finalizzate a porre rimedio alle carenze e ad aumentare +il livello di cibersicurezza nell'Unione, e una sintesi delle conclusioni tratte per quel determinato periodo nelle relazioni sulla +situazione tecnica della cibersicurezza nell'Unione per quanto riguarda gli incidenti e le minacce informatiche, elaborate +dall'ENISA conformemente all'articolo 7, paragrafo 6, del regolamento (UE) 2019/881. +3. +L'ENISA, in collaborazione con la Commissione, il gruppo di cooperazione e la rete di CSIRT, elabora la metodologia, +ivi comprese le variabili pertinenti — come ad esempio indicatori quantitativi e qualitativi — della valutazione aggregata di +cui al paragrafo 1, lettera e). + +Articolo 19 +Revisioni tra pari +1. +Con l'assistenza della Commissione e dell'ENISA nonché, se del caso, della rete CSIRT ed entro il 17 gennaio 2025, il +gruppo di cooperazione stabilisce la metodologia e gli aspetti organizzativi delle revisioni tra pari con l'obiettivo di trarre +insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di +cibersicurezza e migliorare le capacità e le politiche di cibersicurezza degli Stati membri necessarie per attuare la presente +direttiva. La partecipazione alle revisioni tra pari è volontaria. Le revisioni tra pari sono condotte da esperti di +cibersicurezza. Gli esperti di cibersicurezza sono designati da almeno due Stati membri, diversi dallo Stato membro +oggetto di revisione. +Le revisioni tra pari riguardano almeno uno degli aspetti seguenti: +a) il livello di attuazione delle misure di gestione e delle prescrizioni in materia di segnalazione dei rischi di cibersicurezza +enunciate agli articoli 21 e 23; +b) il livello delle capacità, comprese le risorse finanziarie, tecniche e umane disponibili, e l'efficacia dello svolgimento dei +compiti delle autorità competenti; +c) le capacità operative dei CSIRT; +d) il livello di attuazione dell'assistenza reciproca di cui all'articolo 37; +e) il livello di attuazione degli accordi per la condivisione delle informazioni in materia di cibersicurezza di cui +all'articolo 29; +f) le questioni specifiche di natura transfrontaliera o intersettoriale. +2. +La metodologia di cui al paragrafo 1 comprende criteri obiettivi, non discriminatori, equi e trasparenti sulla base dei +quali gli Stati membri designano esperti di cibersicurezza idonei a eseguire le revisioni tra pari. La Commissione e l'ENISA +partecipano alle revisioni tra pari in qualità di osservatori. + +L 333/126 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +3. +Gli Stati membri possono individuare questioni specifiche di cui al paragrafo 1, lettera f), ai fini di una revisione tra +pari. +4. +Prima dell'inizio di una revisione tra pari di cui al paragrafo 1, gli Stati membri notificano agli Stati membri +partecipanti il suo ambito di applicazione, comprese le questioni specifiche individuate ai sensi del paragrafo 3. +5. +Prima dell'inizio della revisione tra pari, gli Stati membri possono effettuare un'autovalutazione degli aspetti oggetto +della revisione e fornire tale autovalutazione agli esperti di cibersicurezza designati. Il gruppo di cooperazione, con +l'assistenza della Commissione e dell'ENISA, stabilisce la metodologia per l'autovalutazione degli Stati membri. +6. +Le revisioni tra pari comportano visite in loco fisiche o virtuali e scambi di informazioni a distanza. In linea con il +principio di buona collaborazione, lo Stato membro sottoposto alla revisione tra pari fornisce agli esperti di cibersicurezza +designati le informazioni necessarie per la valutazione, fatta salva la legislazione nazionale o dell'Unione in materia di +protezione di informazioni riservate o classificate e di salvaguardia delle funzioni essenziali dello Stato, quali la sicurezza +nazionale. Il gruppo di cooperazione, in collaborazione con la Commissione e con l'ENISA, elabora codici di condotta +adeguati, su cui si basano i metodi di lavoro degli esperti di cibersicurezza designati. Le informazioni ottenute mediante la +revisione tra pari sono utilizzate unicamente a tal fine. Gli esperti di cibersicurezza che partecipano alla revisione tra pari +non divulgano a terzi le eventuali informazioni sensibili o riservate ottenute nel corso di tale revisione tra pari. +7. +Una volta sottoposti a revisione tra pari, i medesimi aspetti esaminati in uno Stato membro non sono più soggetti a +ulteriori revisioni tra pari in tale Stato membro per i due anni successivi alla conclusione della revisione, a meno che non +sia diversamente richiesto o stabilito dallo Stato membro su proposta del gruppo di cooperazione. +8. +Gli Stati membri provvedono affinché gli eventuali rischi di conflitto di interessi riguardanti gli esperti di +cibersicurezza designati siano rivelati agli altri Stati membri, al gruppo di cooperazione, alla Commissione e all'ENISA +prima dell'inizio della revisione tra pari. Lo Stato membro che è sottoposto alla revisione tra pari può opporsi alla +designazione di particolari esperti di cibersicurezza per motivi debitamente giustificati, comunicati allo Stato membro +designante. +9. +Gli esperti di cibersicurezza che partecipano alle revisioni tra pari elaborano relazioni sui risultati e sulle conclusioni +delle revisioni tra pari. Gli Stati membri sottoposti a revisione tra pari possono formulare osservazioni sui progetti di +relazione che li riguardano e tali osservazioni sono allegate alle relazioni. Le relazioni contengono raccomandazioni che +consentono di migliorare gli aspetti sottoposti alla revisione tra pari. Le relazioni sono presentate al gruppo di +cooperazione e alla rete di CSIRT, se del caso. Uno Stato membro sottoposto alla revisione tra pari può decidere di rendere +pubblica la sua relazione o una sua versione espunta. + +CAPO IV +MISURE DI GESTIONE DEL RISCHIO DI CIBERSICUREZZA E OBBLIGHI DI SEGNALAZIONE + +Articolo 20 +Governance +1. +Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di +gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all'articolo 21, sovraintendano alla sua +attuazione e possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo. +L'applicazione del presente paragrafo lascia impregiudicato il diritto nazionale per quanto riguarda le norme in materia di +responsabilità applicabili alle istituzioni pubbliche, nonché la responsabilità dei dipendenti pubblici e dei funzionari eletti +o nominati. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/127 + +2. +Gli Stati membri provvedono affinché i membri dell'organo di gestione dei soggetti essenziali e importanti siano +tenuti a seguire una formazione e incoraggiano i soggetti essenziali e importanti a offrire periodicamente una formazione +analoga ai loro dipendenti, per far sì che questi acquisiscano conoscenze e competenze sufficienti al fine di individuare i +rischi e valutare le pratiche di gestione dei rischi di cibersicurezza e il loro impatto sui servizi offerti dal soggetto. + +Articolo 21 + +Misure di gestione dei rischi di cibersicurezza +1. +Gli Stati membri provvedono affinché i soggetti essenziali e importanti adottino misure tecniche, operative e +organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete che tali +soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l'impatto +degli incidenti per i destinatari dei loro servizi e per altri servizi. +Tenuto conto delle conoscenze più aggiornate in materia e, se del caso, delle pertinenti norme europee e internazionali, +nonché dei costi di attuazione, le misure di cui al primo comma assicurano un livello di sicurezza dei sistemi informatici e +di rete adeguato ai rischi esistenti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del grado di +esposizione del soggetto a rischi, delle dimensioni del soggetto e della probabilità che si verifichino incidenti, nonché della +loro gravità, compreso il loro impatto sociale ed economico. +2. +Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e +di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti: +a) politiche di analisi dei rischi e di sicurezza dei sistemi informatici; +b) gestione degli incidenti; +c) continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi; +d) sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun +soggetto e i suoi diretti fornitori o fornitori di servizi; +e) sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e +la divulgazione delle vulnerabilità; +f) strategie e procedure per valutare l'efficacia delle misure di gestione dei rischi di cibersicurezza; +g) pratiche di igiene informatica di base e formazione in materia di cibersicurezza; +h) politiche e procedure relative all'uso della crittografia e, se del caso, della cifratura; +i) sicurezza delle risorse umane, strategie di controllo dell'accesso e gestione degli attivi; +j) uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali +protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso. +3. +Gli Stati membri provvedono affinché, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo, +siano adeguate, i soggetti tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della +qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori e fornitori di servizi, comprese le loro +procedure di sviluppo sicuro. Gli Stati membri provvedono inoltre affinché, nel valutare quali misure di cui al paragrafo 2, +lettera d), siano adeguate, i soggetti siano tenuti a tenere conto dei risultati delle valutazioni coordinate dei rischi per la +sicurezza delle catene di approvvigionamento critiche effettuate a norma dell'articolo 22, paragrafo 1. +4. +Gli Stati membri provvedono affinché, qualora un soggetto constati di non essere conforme alle misure di cui al +paragrafo 2, esso adotti, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate. + +L 333/128 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +5. +Entro il 17 ottobre 2024, la Commissione adotta atti di esecuzione che stabiliscono i requisiti tecnici e metodologici +delle misure di cui al paragrafo 2 per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo +livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei +contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di +ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari. +La Commissione può adottare atti di esecuzione che stabiliscono i requisiti tecnici e metodologici, nonché, se necessario, i +requisiti settoriali relativi alle misure di cui al paragrafo 2 per quanto riguarda i soggetti essenziali e importanti diversi da +quelli di cui al primo comma del presente paragrafo. +Nell'elaborare gli atti di esecuzione di cui al primo e secondo comma del presente paragrafo, la Commissione segue, nella +misura del possibile, le norme europee e internazionali, nonché le pertinenti specifiche tecniche. La Commissione scambia +pareri e coopera con il gruppo di cooperazione e con l'ENISA in merito ai progetti di atto di esecuzione conformemente +all'articolo 14, paragrafo 4, lettera e). +Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. + +Articolo 22 +Valutazioni coordinate a livello dell'Unione del rischio per la sicurezza delle catene di approvvigionamento +critiche +1. +Il gruppo di cooperazione, in collaborazione con la Commissione e l'ENISA, può effettuare valutazioni coordinate dei +rischi per la sicurezza di specifiche catene di approvvigionamento critiche di servizi TIC, sistemi TIC o prodotti TIC, +tenendo conto dei fattori di rischio tecnici e, se opportuno, non tecnici. +2. +La Commissione, previa consultazione del gruppo di cooperazione e dell'ENISA, nonché, ove necessario, dei +pertinenti portatori di interessi, identifica i servizi TIC, i sistemi TIC o i prodotti TIC critici specifici che possono essere +oggetto della valutazione coordinata del rischio per la sicurezza di cui al paragrafo 1. + +Articolo 23 +Obblighi di segnalazione +1. +Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino senza indebito ritardo al +proprio CSIRT o, se opportuno, alla propria autorità competente, conformemente al paragrafo 4, eventuali incidenti che +hanno un impatto significativo sulla fornitura dei loro servizi quali indicati al paragrafo 3 (incidente significativo). Se +opportuno, i soggetti interessati notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti significativi che +possono ripercuotersi negativamente sulla fornitura di tali servizi. Ciascuno Stato membro provvede affinché tali soggetti +comunichino, tra l'altro, qualunque informazione che consenta al CSIRT o, se opportuno, all'autorità competente di +determinare l'eventuale impatto transfrontaliero dell'incidente. La sola notifica non espone il soggetto che la effettua a una +maggiore responsabilità. +Qualora i soggetti interessati notifichino all'autorità competente un incidente significativo conformemente al primo +comma, lo Stato membro provvede affinché l'autorità competente inoltri la notifica al CSIRT dopo averla ricevuta. +In caso di incidente significativo transfrontaliero o intersettoriale, gli Stati membri provvedono affinché i loro punti di +contatto unici ricevano in tempo utile informazioni pertinenti notificate conformemente al paragrafo 4. +2. +Se opportuno, gli Stati membri provvedono affinché i soggetti essenziali e importanti comunichino senza indebito +ritardo ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa qualsiasi +misura o azione correttiva che tali destinatari sono in grado di adottare in risposta a tale minaccia. Se opportuno, i soggetti +informano tali destinatari anche della minaccia informatica significativa stessa. + +27.12.2022 + +3. + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/129 + +Un incidente è considerato significativo se: + +a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto +interessato; +b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali +considerevoli. + +4. +Gli Stati membri provvedono affinché, ai fini della notifica a norma del paragrafo 1, i soggetti interessati trasmettano +al CSIRT o, se opportuno, all'autorità competente: +a) senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo, un +preallarme che, se opportuno, indichi se l'incidente significativo è sospettato di essere il risultato di atti illegittimi o +malevoli o può avere un impatto transfrontaliero; +b) senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell'incidente significativo, una +notifica dell'incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale +dell'incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di +compromissione; +c) su richiesta di un CSIRT o, se opportuno, di un'autorità competente, una relazione intermedia sui pertinenti +aggiornamenti della situazione; +d) una relazione finale entro un mese dalla trasmissione della notifica dell'incidente di cui alla lettera b), che comprenda: +i) + +una descrizione dettagliata dell'incidente, comprensiva della sua gravità e del suo impatto; + +ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l'incidente; +iii) le misure di attenuazione adottate e in corso; +iv) se opportuno, l'impatto transfrontaliero dell'incidente; +e) in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), gli Stati membri +provvedono affinché i soggetti interessati forniscano una relazione sui progressi in quel momento e una relazione +finale entro un mese dalla gestione dell'incidente. + +In deroga al primo comma, lettera b), un prestatore di servizi fiduciari, in relazione a incidenti significativi che abbiano un +impatto sulla fornitura dei suoi servizi fiduciari, informa il CSIRT o, se opportuno, l'autorità competente senza indebito +ritardo e comunque entro 24 ore da quando sono venuti a conoscenza dell'incidente significativo. + +5. +Senza indebito ritardo e ove possibile entro 24 ore dal ricevimento del preallarme di cui al paragrafo 4, lettera a), il +CSIRT o l'autorità competente fornisce una risposta al soggetto notificante, comprendente un riscontro iniziale +sull'incidente significativo e, su richiesta del soggetto, orientamenti o consulenza operativa sull'attuazione di possibili +misure di attenuazione. Se il CSIRT non è il destinatario iniziale della notifica di cui al paragrafo 1, gli orientamenti sono +forniti dall'autorità competente in cooperazione con il CSIRT. Su richiesta del soggetto interessato, il CSIRT fornisce +ulteriore supporto tecnico. Qualora si sospetti che l'incidente significativo abbia carattere criminale, il CSIRT o l'autorità +competente fornisce anche orientamenti sulla segnalazione dell'incidente significativo alle autorità di contrasto. + +6. +Se opportuno, e in particolare se l'incidente significativo interessa due o più Stati membri, il CSIRT, l'autorità +competente o il punto di contatto unico ne informa senza indebito ritardo gli altri Stati membri interessati e l'ENISA. Tali +informazioni includono o il tipo di informazioni ricevute a norma del paragrafo 4. Nel fare ciò, il CSIRT, l'autorità +competente o il punto di contatto unico tutelano, in conformità al diritto dell'Unione o nazionale, la sicurezza e gli +interessi commerciali del soggetto nonché la riservatezza delle informazioni fornite. + +L 333/130 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +7. +Qualora sia necessario sensibilizzare il pubblico per evitare un incidente significativo o affrontare un incidente +significativo in corso, o qualora la divulgazione dell'incidente significativo sia altrimenti nell'interesse pubblico, dopo aver +consultato il soggetto interessato il CSIRT di uno Stato membro o, se del caso, la sua autorità competente e, se opportuno, +i CSIRT o le autorità competenti degli altri Stati membri interessati, possono informare il pubblico riguardo all'incidente +significativo o imporre al soggetto di farlo. +8. +Su richiesta del CSIRT o dell'autorità competente, il punto di contatto unico inoltra le notifiche ricevute a norma del +paragrafo 1 ai punti di contatto unici degli altri Stati membri interessati. +9. +Il punto di contatto unico trasmette ogni tre mesi all'ENISA una relazione di sintesi che comprende dati anonimizzati +e aggregati sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti notificati +conformemente al paragrafo 1 del presente articolo e all'articolo 30. Al fine di contribuire alla fornitura di informazioni +comparabili, l'ENISA può adottare orientamenti tecnici sui parametri delle informazioni da includere nella relazione di +sintesi. Ogni sei mesi l'ENISA informa il gruppo di cooperazione e la rete di CSIRT delle sue constatazioni in merito alle +notifiche ricevute. +10. +I CRSIRT o, se opportuno, le autorità competenti forniscono alle autorità competenti a norma della direttiva (UE) +2022/2557 le informazioni sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti +notificati conformemente al paragrafo 1 del presente articolo e all'articolo 30 dai soggetti identificati come soggetti critici +a norma della direttiva (UE) 2022/2557. +11. +La Commissione può adottare atti di esecuzione che specifichino ulteriormente il tipo di informazioni, il relativo +formato e la procedura di trasmissione di una notifica a norma del paragrafo 1 del presente articolo e dell'articolo 30 e di +una comunicazione trasmessa a norma del paragrafo 2 del presente articolo. +Entro il 17 ottobre 2024 la Commissione adotta, per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di +dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di +distribuzione dei contenuti, i fornitori di servizi gestiti, nonché i fornitori di servizi di sicurezza gestiti, i fornitori di +mercati online, di motori di ricerca online e di piattaforme di servizi di social network, atti di esecuzione che specifichino +ulteriormente i casi in cui un incidente debba essere considerato significativo come indicato al paragrafo 3. La +Commissione può adottare tali atti di esecuzione in relazione ad altri soggetti essenziali e importanti. +La Commissione scambia pareri e coopera con il gruppo di cooperazione in merito ai progetti di atto di esecuzione di cui al +primo e secondo comma del presente paragrafo conformemente all'articolo 14, paragrafo 4, lettera e). +Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 39, paragrafo 2. + +Articolo 24 +Uso dei sistemi europei di certificazione della cibersicurezza +1. +Al fine di dimostrare il rispetto di determinate prescrizioni di cui all'articolo 21, gli Stati membri possono imporre ai +soggetti essenziali e importanti di utilizzare determinati prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto +essenziale o importante o acquistati da terze parti, che siano certificati nell'ambito dei sistemi europei di certificazione +della cibersicurezza adottati a norma dell'articolo 49 del regolamento (UE) 2019/881. Inoltre, gli Stati membri +incoraggiano i soggetti essenziali e importanti a utilizzare servizi fiduciari qualificati. +2. +Alla Commissione è conferito il potere di adottare atti delegati a norma dell'articolo 38 al fine di integrare la presente +direttiva specificando quali categorie di soggetti essenziali e importanti sono tenute a utilizzare determinati prodotti TIC, +servizi TIC e processi TIC certificati o a ottenere un certificato nell'ambito di un sistema europeo di certificazione della +cibersicurezza adottato a norma dell'articolo 49 del regolamento (UE) 2019/881. Tali atti delegati sono adottati qualora +siano stati individuati livelli insufficienti di cibersicurezza e includono un periodo di attuazione. +Prima di adottare tali atti delegati, la Commissione effettua una valutazione d'impatto e procede a consultazioni +conformemente all'articolo 56 del regolamento (UE) 2019/881. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/131 + +3. +Qualora non siano disponibili sistemi di europei di certificazione della cibersicurezza adeguati ai fini del paragrafo 2 +del presente articolo, la Commissione può chiedere all'ENISA, previa consultazione del gruppo di cooperazione e del +gruppo europeo per la certificazione della cibersicurezza, di preparare una proposta di sistema a norma dell'articolo 48, +paragrafo 2, del regolamento (UE) 2019/881. + +Articolo 25 +Normazione +1. +Per promuovere l'attuazione convergente dell'articolo 21, paragrafi 1 e 2, gli Stati membri, senza imposizioni o +discriminazioni a favore dell'uso di un particolare tipo di tecnologia, incoraggiano l'uso di norme e specifiche tecniche +europee e internazionali relative alla sicurezza dei sistemi informatici e di rete. +2. +L'ENISA, in cooperazione con gli Stati membri e, se opportuno, previa consultazione dei pertinenti portatori di +interessi, elabora documenti di consulenza e orientamento riguardanti tanto i settori tecnici da prendere in considerazione +in relazione al paragrafo 1, quanto le norme già esistenti, comprese le norme nazionali, che potrebbero essere applicate a +tali settori. + +CAPO V +GIURISDIZIONE E REGISTRAZIONE + +Articolo 26 +Giurisdizione e territorialità +1. +I soggetti che rientrano nell'ambito di applicazione della presente direttiva sono considerati sotto la giurisdizione +dello Stato membro nel quale sono stabiliti, ad eccezione dei casi seguenti: +a) i fornitori di reti pubbliche di comunicazione elettronica o i fornitori di servizi di comunicazione elettronica accessibili +al pubblico, che sono considerati sotto la giurisdizione dello Stato membro nel quale forniscono i loro servizi; +b) i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i soggetti che forniscono servizi di registrazione +dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di +distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di +mercati online, di motori di ricerca online o di piattaforme di servizi di social network, che sono considerati sotto la +giurisdizione dello Stato membro in cui hanno lo stabilimento principale nell'Unione a norma del paragrafo 2; +c) gli enti della pubblica amministrazione, che sono considerati sotto la giurisdizione dello Stato membro che li ha istituiti. +2. +Ai fini della presente direttiva, si considera che un soggetto di cui al paragrafo 1, lettera b), abbia il proprio +stabilimento principale nell'Unione nello Stato membro in cui sono prevalentemente adottate le decisioni relative alle +misure di gestione del rischio di cibersicurezza. Se non è possibile determinare detto Stato membro o se tali decisioni non +sono adottate nell'Unione, lo stabilimento principale è considerato essere nello Stato membro in cui sono effettuate le +operazioni di cibersicurezza. Se non è possibile determinare detto Stato membro, si considera che lo stabilimento +principale sia nello Stato membro in cui il soggetto interessato ha lo stabilimento con il maggior numero di dipendenti +nell'Unione. +3. +Se un soggetto di cui al paragrafo 1, lettera b), non è stabilito nell'Unione, ma offre servizi nell'Unione, esso designa +un rappresentante nell'Unione. Il rappresentante è stabilito in uno degli Stati membri in cui sono offerti i servizi. Tale +soggetto è considerato sotto la giurisdizione dello Stato membro in cui è stabilito il suo rappresentante. Nell'assenza di un +rappresentante nell'Unione designato a norma del presente paragrafo, qualsiasi Stato membro in cui il soggetto fornisce +servizi può avviare un'azione legale nei confronti del soggetto per violazione degli obblighi della presente direttiva. +4. +La designazione di un rappresentante da parte di un soggetto di cui al paragrafo 1, lettera b), fa salve le azioni legali +che potrebbero essere avviate nei confronti del soggetto stesso. + +L 333/132 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +5. +Gli Stati membri che hanno ricevuto una richiesta di assistenza reciproca in relazione a un soggetto di cui al +paragrafo 1, lettera b), possono, entro i limiti della richiesta, adottare misure di vigilanza e di esecuzione adeguate in +relazione al soggetto interessato che fornisce servizi o che ha un sistema informatico e di rete nel loro territorio. + +Articolo 27 +Registro dei soggetti +1. +L'ENISA crea e mantiene un registro di fornitori di servizi DNS, registri dei nomi di dominio di primo livello, soggetti +che forniscono servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di +data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, +nonché fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network sulla base delle +informazioni ricevute dai punti di contatto unici conformemente al paragrafo 4. Su richiesta, l'ENISA consente alle autorità +competenti di accedere a tale registro, assicurando nel contempo la tutela della riservatezza delle informazioni, se del caso. +2. +Gli Stati membri esigono che i soggetti di cui al paragrafo 1 trasmettano entro il 17 gennaio 2025, le informazioni +seguenti alle autorità competenti: +a) il proprio nome; +b) il settore, il sottosettore e il tipo di soggetto di cui all'allegato I o II, se del caso; +c) l'indirizzo dello stabilimento principale e degli altri stabilimenti legali del soggetto nell'Unione o, se non è stabilito +nell'Unione, del suo rappresentante a norma dell'articolo 26, paragrafo 3; +d) i dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono del soggetto, e, se opportuno, del suo +rappresentante a norma dell'articolo 26, paragrafo 3; +e) gli Stati membri in cui il soggetto fornisce i suoi servizi; e +f) le serie di IP del soggetto. +3. +Gli Stati membri provvedono affinché i soggetti di cui al paragrafo 1 notifichino all'autorità competente qualsiasi +modifica dei dettagli trasmessi a norma del paragrafo 2 tempestivamente e, in ogni caso, entro tre mesi dalla data della +modifica. +4. +In seguito alla ricezione delle informazioni di cui ai paragrafi 2 e 3, ad eccezione di quelle di cui al paragrafo 2, +lettera f), il punto di contatto unico dello Stato membro interessato, senza ritardo, le inoltra all'ENISA. +5. +Se opportuno, le informazioni di cui ai paragrafi 2 e 3 del presente articolo sono trasmesse attraverso il meccanismo +nazionale di cui all'articolo 3, paragrafo 4, quarto comma. + +Articolo 28 +Banca dati dei dati di registrazione dei nomi di dominio +1. +Per contribuire alla sicurezza, alla stabilità e alla resilienza del DNS, gli Stati membri impongono ai registri dei nomi di +TLD e ai soggetti che forniscono servizi di registrazione dei nomi di dominio di raccogliere e mantenere dati di registrazione +dei nomi di dominio accurati e completi in un'apposita banca dati con la dovuta diligenza, conformemente al diritto +dell'Unione in materia di protezione dei dati per quanto riguarda i dati personali. +2. +Ai fini del paragrafo 1, gli Stati membri esigono che la banca dati dei dati di registrazione dei nomi di dominio +contenga le informazioni necessarie per identificare e contattare i titolari dei nomi di dominio e i punti di contatto che +amministrano i nomi di dominio sotto i TLD. Tali informazioni includono: +a) il nome di dominio; +b) la data di registrazione; + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/133 + +c) il nome, l'indirizzo e-mail di contatto e il numero di telefono del soggetto che procede alla registrazione; +d) l'indirizzo e-mail di contatto e il numero di telefono del punto di contatto che amministra il nome di dominio qualora +siano diversi da quelli del soggetto che procede alla registrazione. +3. +Gli Stati membri esigono che i registri dei nomi di TLD e i soggetti che forniscono servizi di registrazione dei nomi di +dominio predispongano politiche e procedure, incluse procedure di verifica, per garantire che le banche dati di cui al +paragrafo 1 comprendano informazioni accurate e complete. Gli Stati membri esigono che tali politiche e procedure siano +rese pubbliche. +4. +Gli Stati membri esigono che i registri dei nomi di TLD e i soggetti che forniscono servizi di registrazione dei nomi di +dominio per i TLD rendano pubblicamente disponibili, senza indebito ritardo dopo la registrazione di un nome di dominio, +i dati di registrazione dei nomi di dominio che non sono dati personali. +5. +Gli Stati membri esigono che i registri dei nomi di TLD e i soggetti che forniscono servizi di registrazione dei nomi di +dominio, su richiesta legittima e debitamente motivata di legittimi richiedenti l'accesso, forniscano l'accesso a specifici dati +di registrazione dei nomi di dominio, nel rispetto del diritto dell'Unione in materia di protezione dei dati. Gli Stati membri +esigono che i registri dei nomi di TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio rispondano +senza indebito ritardo e comunque entro 72 ore dalla ricezione delle richieste di accesso. Gli Stati membri esigono che le +politiche e le procedure relative alla divulgazione di tali dati siano rese pubbliche. +6. +Il rispetto degli obblighi di cui ai paragrafi da 1 a 5 non comportano una duplicazione della raccolta di dati di +registrazione dei nomi di dominio. A tal fine, gli Stati membri esigono che i registri dei nomi di TLD e i soggetti che +forniscono servizi di registrazione dei nomi di dominio collaborino tra loro. + +CAPO VI +CONDIVISIONE DELLE INFORMAZIONI + +Articolo 29 +Accordi di condivisione delle informazioni sulla cibersicurezza +1. +Gli Stati membri provvedono affinché i soggetti che rientrano nell'ambito di applicazione della presente direttiva e, se +del caso, altri soggetti che non rientrano nell'ambito di applicazione della presente direttiva siano in grado di scambiarsi, su +base volontaria, pertinenti informazioni sulla cibersicurezza, comprese informazioni relative a minacce informatiche, quasi +incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche +sugli attori delle minacce, allarmi di cibersicurezza e raccomandazioni concernenti la configurazione degli strumenti di +cibersicurezza per individuare le minacce informatiche, se tale condivisione di informazioni: +a) mira a prevenire o rilevare gli incidenti, a riprendersi dagli stessi o ad attenuarne l'impatto; +b) aumenta il livello di cibersicurezza, in particolare sensibilizzando in merito alle minacce informatiche, limitando o +inibendo la capacità di diffusione di tali minacce e sostenendo una serie di capacità di difesa, la risoluzione e la +divulgazione delle vulnerabilità, tecniche di rilevamento, contenimento e prevenzione delle minacce, strategie di +attenuazione o fasi di risposta e recupero, oppure promuovendo la ricerca collaborativa sulle minacce informatiche tra +soggetti pubblici e privati. +2. +Gli Stati membri provvedono affinché lo scambio di informazioni avvenga nell'ambito di comunità di soggetti +essenziali e importanti e, se opportuno, dei loro fornitori o fornitori di servizi. Tale scambio è attuato mediante accordi di +condivisione delle informazioni sulla cibersicurezza che tengono conto della natura potenzialmente sensibile delle +informazioni condivise. + +L 333/134 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +3. +Gli Stati membri facilitano la conclusione degli accordi di condivisione delle informazioni sulla cibersicurezza di cui +al paragrafo 2 del presente articolo. Gli Stati membri possono specificare gli elementi operativi, compreso l'uso di +piattaforme TIC dedicate e di strumenti di automazione, i contenuti e le condizioni degli accordi di condivisione delle +informazioni. Nello stabilire i dettagli relativi alla partecipazione delle autorità pubbliche a tali accordi, gli Stati membri +possono imporre condizioni per le informazioni messe a disposizione dalle autorità competenti o dai CSIRT. Gli Stati +membri offrono assistenza per l'applicazione di tali accordi conformemente alle loro misure strategiche di cui +all'articolo 7, paragrafo 2, lettera h). +4. +Gli Stati membri provvedono affinché i soggetti essenziali e importanti notifichino alle autorità competenti la loro +partecipazione agli accordi di condivisione delle informazioni sulla cibersicurezza di cui al paragrafo 2 al momento della +conclusione di tali accordi o, se opportuno, del loro ritiro da tali accordi, una volta che questo è divenuto effettivo. +5. +L'ENISA offre assistenza per la conclusione di accordi di condivisione delle informazioni sulla cibersicurezza di cui al +paragrafo 2 fornendo orientamenti e provvedendo allo scambio delle migliori pratiche. + +Articolo 30 +Notifica volontaria di informazioni pertinenti +1. +Gli Stati membri provvedono affinché, in aggiunta all'obbligo di notifica di cui all'articolo 23, possano essere +trasmesse, su base volontaria, notifiche ai CSIRT o, se opportuno, alle autorità competenti, da parte dei: +a) soggetti essenziali e importanti, per quanto riguarda gli incidenti, le minacce informatiche e i quasi incidenti; +b) soggetti diversi da quelli di cui alla lettera a), indipendentemente dal fatto che ricadano o meno nell'ambito di +applicazione della presente direttiva, per quanto riguarda gli incidenti significativi, le minacce informatiche e i quasi +incidenti. +2. +Gli Stati membri trattano le notifiche di cui al paragrafo 1 del presente articolo secondo la procedura di cui +all'articolo 23. Gli Stati membri possono trattare le notifiche obbligatorie prioritariamente rispetto alle notifiche volontarie. +Se necessario, i CSIRT e, se del caso, le autorità competenti forniscono ai punti di contatto unici le informazioni sulle +notifiche ricevute a norma del presente articolo, garantendo nel contempo la riservatezza e la tutela adeguata delle +informazioni fornite dal soggetto notificante. Fatti salvi la prevenzione, l'indagine, l'accertamento e il perseguimento di +reati, la segnalazione volontaria non ha l'effetto di imporre al soggetto notificante alcun obbligo aggiuntivo a cui non +sarebbe stato sottoposto se non avesse trasmesso la notifica. + +CAPO VII +VIGILANZA ED ESECUZIONE + +Articolo 31 +Aspetti generali relativi alla vigilanza e all'esecuzione +1. +Gli Stati membri provvedono affinché le proprie autorità competenti monitorino efficacemente e adottino le misure +necessarie a garantire il rispetto della presente direttiva. +2. +Gli Stati membri possono consentire alle proprie autorità competenti di conferire priorità ai compiti di vigilanza. Tale +priorità si fonda su un approccio basato sul rischio. A tal fine, nell'esercizio dei rispettivi compiti di vigilanza di cui agli +articoli 32 e 33, le autorità competenti possono stabilire metodologie di vigilanza che consentano di conferire priorità a +tali compiti secondo un approccio basato sul rischio. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/135 + +3. +Le autorità competenti operano in stretta cooperazione con le autorità di controllo ai sensi del regolamento (UE) +2016/679 nei casi di incidenti che comportano violazioni di dati personali, senza pregiudicare la competenza e i compiti +delle autorità di controllo di cui a tale regolamento. +4. +Fatti salvi i quadri legislativi e istituzionali nazionali, gli Stati membri provvedono affinché nel vigilare sul rispetto, da +parte degli enti della pubblica amministrazione, della presente direttiva e nell'imporre misure di esecuzione in caso di +violazione della presente direttiva, le autorità competenti dispongano dei poteri adeguati per svolgere tali compiti con +indipendenza operativa rispetto agli enti della pubblica amministrazione sottoposti a vigilanza. Gli Stati membri possono +decidere di imporre misure di vigilanza e di esecuzione adeguate, proporzionate ed efficaci in relazione a tali enti +conformemente ai quadri legislativi e istituzionali nazionali. + +Articolo 32 +Misure di vigilanza e di esecuzione relative a soggetti essenziali +1. +Gli Stati membri provvedono affinché le misure di vigilanza o di esecuzione imposte ai soggetti essenziali per quanto +riguarda gli obblighi di cui alla presente direttiva siano effettive, proporzionate e dissuasive, tenuto conto delle circostanze +di ciascun singolo caso. +2. +Gli Stati membri provvedono affinché le autorità competenti, nell'esercizio dei rispettivi compiti di vigilanza nei +confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a: +a) ispezioni in loco e vigilanza a distanza, compresi controlli casuali, effettuati da professionisti formati; +b) audit sulla sicurezza periodici e mirati effettuati da un organismo indipendente o da un'autorità competente; +c) audit ad hoc, ivi incluso in casi giustificati da un incidente significativo o da una violazione della presente direttiva da +parte del soggetto essenziale; +d) scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se +necessario in cooperazione con il soggetto interessato; +e) richieste di informazioni necessarie a valutare le misure di gestione dei rischi di cibersicurezza adottate dal soggetto +interessato, comprese le politiche di cibersicurezza documentate, nonché il rispetto dell'obbligo di trasmettere +informazioni alle autorità competenti a norma dell'articolo 27; +f) richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei compiti di vigilanza; +g) richieste di dati che dimostrino l'attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza +effettuati da un controllore qualificato e i relativi elementi di prova. +Gli audit sulla sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio effettuate dall'autorità +competente o dal soggetto sottoposto ad audit o su altre informazioni disponibili in materia di rischi. +I risultati di eventuali audit sulla sicurezza mirati sono messi a disposizione dell'autorità competente. I costi di tale audit +sulla sicurezza mirato svolto da un organismo indipendente sono a carico del soggetto sottoposto ad audit, salvo in casi +debitamente giustificati in cui l'autorità competente decida altrimenti. +3. +Nell'esercizio dei loro poteri di cui al paragrafo 2, lettera e), f) o g), le autorità competenti dichiarano la finalità della +richiesta e specificano le informazioni richieste. +4. +Gli Stati membri provvedono affinché le proprie autorità competenti, nell'esercizio dei rispettivi poteri di esecuzione +nei confronti dei soggetti essenziali, abbiano il potere come minimo di: +a) emanare avvertimenti relativi a violazioni della presente direttiva da parte dei soggetti interessati; + +L 333/136 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +b) adottare istruzioni vincolanti, ivi incluso per quanto riguarda le misure richieste per evitare il verificarsi di un incidente +o porvi rimedio, nonché i termini per l'attuazione di tali misure e per riferire in merito alla loro attuazione, o +un'ingiunzione che impongano ai soggetti interessati di porre rimedio alle carenze individuate o alle violazioni della +direttiva; +c) imporre ai soggetti interessati di porre termine al comportamento che viola la presente direttiva e di astenersi dal +ripeterlo; +d) imporre ai soggetti interessati di provvedere affinché le loro misure di gestione del rischio di cibersicurezza siano +conformi all'articolo 21 o di adempiere gli obblighi di segnalazione di cui all'articolo 23 in una maniera ed entro un +termine specificati; +e) imporre ai soggetti interessati di informare le persone fisiche o giuridiche cui forniscono servizi o per cui svolgono +attività che sono potenzialmente interessati da una minaccia informatica significativa in merito alla natura della +minaccia, nonché in merito alle eventuali misure protettive o correttive che possano essere adottate da tali persone +fisiche o giuridiche in risposta a tale minaccia; +f) imporre ai soggetti interessati di attuare le raccomandazioni fornite in seguito a un audit sulla sicurezza entro un +termine ragionevole; +g) designare un funzionario addetto alla sorveglianza con compiti ben definiti nell'arco di un periodo di tempo +determinato al fine di vigilare sul rispetto degli articoli 18 e 20; +h) imporre ai soggetti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva in una maniera +specificata; +i) imporre o chiedere l'imposizione, da parte degli organismi o degli organi giurisdizionali pertinenti secondo il diritto +nazionale, di una sanzione amministrativa pecuniaria a norma dell'articolo 34, in aggiunta a qualsiasi delle misure di +cui al presente paragrafo, lettere da a) a h). +5. +Qualora le misure di esecuzione adottate a norma del paragrafo 4, lettere da a) a d), e lettera f), si rivelino inefficaci, gli +Stati membri provvedono affinché le proprie autorità competenti abbiano il potere di fissare un termine entro il quale il +soggetto essenziale è tenuto ad adottare le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni +di tali autorità. Se le misure richieste non sono adottate entro il termine stabilito, gli Stati membri provvedono affinché le +proprie autorità competenti abbiano il potere di: +a) sospendere temporaneamente o chiedere a un organismo di certificazione o autorizzazione, oppure a un organo +giurisdizionale, secondo il diritto nazionale, di sospendere temporaneamente un certificato o un'autorizzazione relativi +a una parte o alla totalità dei servizi o delle attività pertinenti svolti dal soggetto essenziale; +b) chiedere che gli organismi o gli organi giurisdizionali pertinenti, secondo il diritto nazionale, vietino temporaneamente +a qualsiasi persona che svolga funzioni dirigenziali a livello di amministratore delegato o rappresentante legale in tale +soggetto essenziale di svolgere funzioni dirigenziali in tale soggetto. +Le sospensioni o i divieti temporanei a norma del presente paragrafo sono applicati solo finché il soggetto interessato non +adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle prescrizioni dell'autorità competente per le +quali le misure di esecuzione sono state applicate. L'imposizione di tali sospensioni o divieti temporanei è soggetta a +garanzie procedurali appropriate in conformità ai principi generali del diritto dell'Unione e della Carta, inclusi il diritto a +un ricorso effettivo e ad un giusto processo, la presunzione di innocenza e i diritti della difesa. +Le misure di esecuzione previste dal presente paragrafo non sono applicabili agli enti della pubblica amministrazione che +sono soggetti alla presente direttiva. +6. +Gli Stati membri provvedono affinché qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in +qualità di suo rappresentante legale sulla base del potere di rappresentarlo, dell'autorità di prendere decisioni per suo conto +o dell'autorità di esercitare un controllo su di esso abbia il potere di garantirne il rispetto della presente direttiva. Gli Stati +membri provvedono affinché tali persone fisiche possano essere ritenute responsabili dell'inadempimento dei loro doveri +di garantire il rispetto della presente direttiva. +Per quanto riguarda gli enti della pubblica amministrazione, il presente paragrafo lascia impregiudicato il diritto nazionale +in materia di responsabilità dei dipendenti pubblici e dei funzionari eletti o nominati. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/137 + +7. +Nell'adottare qualsiasi misura di esecuzione di cui al paragrafo 4 o 5, le autorità competenti rispettano i diritti della +difesa e tengono conto delle circostanze di ciascun singolo caso e almeno degli elementi seguenti: +a) la gravità della violazione e l'importanza delle disposizioni violate, essendo le violazioni seguenti, tra l'altro, da +considerarsi gravi: +i) + +le violazioni ripetute; + +ii) la mancata notifica di incidenti significativi o il mancato rimedio a tali incidenti; +iii) il mancato rimedio alle carenze a seguito di istruzioni vincolanti emesse dalle autorità competenti; +iv) l'ostacolo degli audit o delle attività di monitoraggio imposte dall'autorità competente a seguito del rilevamento di +una violazione; +v) la fornitura di informazioni false o gravemente inesatte relative alle misure in materia di gestione o segnalazione del +rischio di cibersicurezza di cui agli articoli 21 e 23; +b) la durata della violazione; +c) eventuali precedenti violazioni pertinenti commesse dal soggetto interessato; +d) qualsiasi danno materiale o immateriale causato, incluse le perdite finanziarie o economiche, gli effetti sugli altri servizi +e il numero di utenti interessati; +e) un'eventuale condotta intenzionale o negligenza da parte dell'autore della violazione; +f) qualsiasi misure adottata dal soggetto per prevenire o attenuare il danno materiale o immateriale; +g) qualsiasi adesione a codici di condotta o meccanismi di certificazione approvati; +h) il livello di collaborazione delle persone fisiche o giuridiche ritenute responsabili con le autorità competenti. +8. +Le autorità competenti espongono nei particolari la motivazione delle loro misure di esecuzione. Prima di adottare +tali misure le autorità competenti notificano ai soggetti interessati le loro conclusioni preliminari. Esse concedono inoltre a +tali soggetti un tempo ragionevole per presentare osservazioni, salvo in casi debitamente giustificati in cui ciò impedirebbe +di agire con immediatezza per prevenire un incidente o rispondervi. +9. +Gli Stati membri provvedono affinché le loro autorità competenti di cui alla presente direttiva informino le autorità +competenti pertinenti all'interno dello stesso Stato membro a norma della direttiva (UE) 2022/2557 quando esercitano i +propri poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi stabiliti dalla presente direttiva da +parte di un soggetto identificato come critico a norma della direttiva (UE) 2022/2557. Se del caso, le autorità competenti +di cui alla direttiva (UE) 2022/2557 possono chiedere alle autorità competenti di cui alla presente direttiva di esercitare i +propri poteri di vigilanza e di esecuzione in relazione a un soggetto che è stato individuato come soggetto critico ai sensi +della direttiva (UE) 2022/2557. +10. +Gli Stati membri provvedono affinché le loro autorità competenti ai sensi della presente direttiva cooperino con le +pertinenti autorità competenti dello Stato membro interessato a norma del regolamento (UE) 2022/2554. In particolare, +gli Stati membri provvedono affinché le loro autorità competenti a norma della presente direttiva informino il forum di +sorveglianza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercitano i propri +poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi previsti dalla presente direttiva da parte di +un soggetto essenziale designato come fornitore terzo critico di servizi di TIC a norma dell'articolo 31 del regolamento +(UE) 2022/2554 + +Articolo 33 +Vigilanza ed esecuzione relative a soggetti essenziali +1. +Se ricevono elementi di prova, indicazioni o informazioni secondo cui un soggetto importante non rispetta +presumibilmente la presente direttiva, in particolare dagli articoli 21 e 23 della medesima, gli Stati membri provvedono +affinché le autorità competenti intervengano, se necessario, mediante misure di vigilanza ex post. Gli Stati membri +provvedono affinché tali misure siano efficaci, proporzionate e dissuasive, tenendo conto delle circostanze di ogni +singolo caso. + +L 333/138 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +2. +Gli Stati membri provvedono affinché le autorità competenti, nell'esercizio dei rispettivi compiti di vigilanza nei +confronti dei soggetti importanti, abbiano il potere di sottoporre tali soggetti come minimo a: +a) ispezioni in loco e vigilanza ex post a distanza, effettuate da professionisti formati; +b) audit sulla sicurezza mirati svolti da un organismo indipendente o da un'autorità competente; +c) scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se +necessario, con la cooperazione del soggetto interessato; +(d) richieste di qualsiasi informazione necessaria a valutare ex post le misure di gestione dei rischi di cibersicurezza adottate +dal soggetto, comprese le politiche di cibersicurezza documentate, nonché il rispetto degli obblighi di trasmettere +informazioni alle autorità competenti a norma dell'articolo 27; +e) richieste di accesso a dati, documenti e/o informazioni necessari allo svolgimento dei propri compiti di vigilanza; +f) + +richieste di dati che dimostrino l'attuazione di politiche di cibersicurezza, quali i risultati di audit sulla sicurezza +effettuati da un controllore qualificato e i relativi elementi di prova. + +Gli audit sulla sicurezza mirati di cui al primo comma, lettera b), si basano su valutazioni del rischio effettuate dall'autorità +competente o dal soggetto sottoposto ad audit o su altre informazioni disponibili in materia di rischi. +I risultati di eventuali audit sulla sicurezza mirati sono messi a disposizione dell'autorità competente. I costi di tale audit +sulla sicurezza mirato svolto da un organismo indipendente sono a carico del soggetto sottoposto a audit, salvo in casi +debitamente giustificati in cui l'autorità competente decida altrimenti. +3. +Nell'esercizio dei loro poteri a norma del paragrafo 2, lettere d), e) o f), le autorità competenti dichiarano la finalità +della richiesta e specificano le informazioni richieste. +4. +Gli Stati membri provvedono affinché le autorità competenti, nell'esercizio dei rispettivi poteri di esecuzione nei +confronti dei soggetti importanti, abbiano il potere come minimo di: +a) emanare avvertimenti relativi a violazioni della presente direttiva da parte dei soggetti interessati; +b) adottare istruzioni vincolanti o un'ingiunzione che impongano a tali soggetti di porre rimedio alle carenze individuate o +alle violazioni degli obblighi della presente direttiva; +c) imporre ai soggetti interessati di porre termine alle condotte in violazione della presente direttiva e di astenersi dal +ripeterle; +d) imporre ai soggetti interessati di provvedere affinché le loro misure di gestione dei rischi di cibersicurezza siano +conformi all'articolo 21 o i loro obblighi di segnalazione conformi alle prescrizioni di cui all'articolo 23 in una +maniera ed entro un termine specificati; +e) imporre ai soggetti interessati di informare le persone fisiche o giuridiche cui forniscono servizi o per cui svolgono +attività potenzialmente interessati da una minaccia informatica significativa in merito alla natura della minaccia e alle +eventuali misure protettive o correttive che possano essere adottate da tali persone fisiche o giuridiche in risposta a tale +minaccia; +f) imporre agli interessati di attuare le raccomandazioni fornite in seguito a un audit sulla sicurezza entro un termine +ragionevole; +g) imporre ai soggetti interessati di rendere pubblici gli aspetti delle violazioni della presente direttiva in una maniera +specificata; +h) imporre o chiedere l'imposizione, da parte degli organismi o degli organi giurisdizionali pertinenti secondo la +legislazione nazionale, di una sanzione amministrativa pecuniaria a norma dell'articolo 34, in aggiunta a una qualsiasi +delle misure di cui al presente paragrafo, lettere da a) a g). +5. +L'articolo 32, paragrafi 6, 7 e 8, si applica mutatis mutandis alle misure di vigilanza ed esecuzione di cui al presente +articolo per soggetti importanti. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/139 + +6. +Gli Stati membri provvedono affinché le loro autorità competenti ai sensi della presente direttiva cooperino con le +pertinenti autorità competenti dello Stato membro interessato a norma del regolamento (UE) 2022/2554. In particolare, +gli Stati membri provvedono affinché le loro autorità competenti a norma della presente direttiva informino il forum di +sorveglianza istituito ai sensi dell'articolo 32, paragrafo 1, del regolamento (UE) 2022/2554 quando esercitano i propri +poteri di vigilanza ed esecuzione finalizzati a garantire il rispetto degli obblighi previsti dalla presente direttiva da parte di +un soggetto importante designato come fornitore terzo critico di servizi di TIC a norma dell'articolo 31 del regolamento +(UE) 2022/2554. + +Articolo 34 +Condizioni generali per imporre sanzioni amministrative pecuniarie ai soggetti essenziali e importanti +1. +Gli Stati membri provvedono affinché le sanzioni amministrative pecuniarie imposte ai soggetti essenziali e +importanti a norma del presente articolo in relazione alle violazioni della presente direttiva siano effettive, proporzionate e +dissuasive, tenendo conto delle circostanze di ogni singolo caso. +2. +Le sanzioni amministrative pecuniarie sono imposte in aggiunta a qualsiasi delle misure di cui all'articolo 32, +paragrafo 4, lettere da a) a h), all'articolo 32, paragrafo 5, e all'articolo 33, paragrafo 4, lettere da a) a g). +3. +Nel decidere se imporre una sanzione amministrativa pecuniaria e il relativo importo in ciascun singolo caso si tiene +debitamente conto almeno degli elementi di cui all'articolo 32, paragrafo 7. +4. +Gli Stati membri provvedono affinché, ove violino l'articolo 21 o 23, i soggetti essenziali siano soggetti, +conformemente ai paragrafi 2 e 3 del presente articolo, a sanzioni pecuniarie amministrative pari a un massimo di almeno +10 000 000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo per l'esercizio precedente +dell'impresa cui il soggetto essenziale appartiene, se tale importo è superiore. +5. +Gli Stati membri provvedono affinché, ove violino l'articolo 21 o 23, i soggetti importanti siano soggetti, +conformemente ai paragrafi 2 e 3 del presente articolo, a sanzioni pecuniarie amministrative pari a un massimo di almeno +7 000 000 EUR o a un massimo di almeno l'1,4 % del totale del fatturato mondiale annuo per l'esercizio precedente +dell'impresa cui il soggetto importante appartiene, se tale importo è superiore. +6. +Gli Stati membri possono prevedere la facoltà di infliggere penalità di mora al fine di imporre a un soggetto essenziale +o importante di cessare una violazione della presente direttiva conformemente a una precedente decisione dell'autorità +competente. +7. +Fatti salvi i poteri delle autorità competenti a norma degli articoli 32 e 33, ogni Stato membro può prevedere norme +che dispongano se e in quale misura possono essere imposte sanzioni amministrative pecuniarie agli enti della pubblica +amministrazione. +8. +Se l'ordinamento giuridico di uno Stato membro non prevede sanzioni amministrative pecuniarie, lo Stato membro +in questione provvede affinché il presente articolo possa applicarsi in maniera tale che l'azione sanzionatoria sia avviata +dall'autorità competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali, +garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative +pecuniarie irrogate dalle autorità competenti. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e +dissuasive. Lo Stato membro notifica alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al +più tardi entro il 17 ottobre 2024 e ne comunicano senza ritardo ogni successiva modifica. + +Articolo 35 +Violazioni che comportano una violazione dei dati personali +1. +Qualora le autorità competenti, in sede di vigilanza o di esecuzione, vengano a conoscenza del fatto che la violazione +degli obblighi di cui agli articoli 21 e 23 della presente direttiva da parte di un soggetto essenziale o importante possa +comportare una violazione dei dati personali, quale definita all'articolo 4, punto 12), del regolamento (UE) 2016/679, che +deve essere notificata a norma dell'articolo 33 del medesimo regolamento, ne informano senza indebito ritardo le autorità +di controllo competenti a norma dell'articolo 55 o 56 di tale regolamento. + +L 333/140 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +2. +Qualora le autorità di controllo di cui all'articolo 55 o 56 del regolamento (UE) 2016/679 impongano una sanzione +amministrativa pecuniaria a norma dell'articolo 58, paragrafo 2, lettera i), del medesimo regolamento, le autorità +competenti non impongono una sanzione amministrativa pecuniaria a norma dell'articolo 34 della presente direttiva per +una violazione di cui al presente articolo, paragrafo 1, imputabile al medesimo comportamento punito con l'ammenda +amministrativa pecuniaria a norma dell'articolo 58, paragrafo 2, lettera i), del regolamento (UE) 2016/679. Le autorità +competenti possono tuttavia imporre le misure di esecuzione di cui all'articolo 32, paragrafo 4, lettere da a) a h), +all'articolo 32, paragrafo 5, e all'articolo 33, paragrafo 4, lettere da a) a g) della presente direttiva. +3. +Qualora l'autorità di controllo competente a norma del regolamento (UE) 2016/679 sia stabilita in uno Stato +membro diverso rispetto all'autorità competente, l'autorità competente informa l'autorità di controllo stabilita nel proprio +Stato membro della potenziale violazione dei dati personali di cui al paragrafo 1. + +Articolo 36 + +Sanzioni +Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione delle misure nazionali adottate +in attuazione della presente direttiva e adottano tutte le misure necessarie per assicurarne l'applicazione. Le sanzioni +previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri comunicano alla Commissione, entro il +17 gennaio 2025, tali norme e misure e la informano, immediatamente, di qualsiasi modifica apportata successivamente. + +Articolo 37 + +Assistenza reciproca +1. +Se un soggetto fornisce servizi in più di uno Stato membro o fornisce servizi in uno o più Stati membri e i suoi +sistemi informatici e di rete sono ubicati in uno o più altri Stati membri, le autorità competenti degli Stati membri +interessati cooperano e si assistono reciprocamente in funzione delle necessità. Tale cooperazione comprende, almeno, gli +aspetti seguenti: +a) le autorità competenti che applicano misure di vigilanza o di esecuzione in uno Stato membro informano e consultano, +attraverso il punto di contatto unico, le autorità competenti degli altri Stati membri interessati in merito alle misure di +vigilanza ed esecuzione adottate; +b) un'autorità competente può chiedere a un'altra autorità competente di adottare misure di vigilanza o esecuzione; +c) un'autorità competente, dopo aver ricevuto una richiesta giustificata da un'altra autorità competente, fornisce a tale altra +autorità competente un'assistenza reciproca proporzionata alle proprie risorse affinché le misure di vigilanza o +esecuzione possano essere attuate in maniera efficace, efficiente e coerente. +L'assistenza reciproca di cui al primo comma. Lettera c), può riguardare richieste di informazioni e misure di vigilanza, +comprese richieste di effettuare ispezioni in loco o vigilanza a distanza o audit sulla sicurezza mirati. Un'autorità +competente destinataria di una richiesta di assistenza non può respingerla a meno che non abbia stabilito che essa non è +competente per fornire l'assistenza richiesta, che l'assistenza richiesta non è proporzionata ai compiti di vigilanza svolti +dall'autorità competente o che la richiesta riguarda informazioni o comporta attività che, se divulgate o svolte, sarebbero +contrari agli interessi essenziali della sicurezza nazionale, la pubblica sicurezza o la difesa dello Stato membro in questione. +Prima di respingere tale richiesta, l'autorità competente consulta le altre autorità competenti interessate e, su richiesta di uno +degli Stati membri interessati, la Commissione e l'ENISA, +2. +Se opportuno e di comune accordo le autorità competenti di diversi Stati membri possono svolgere le attività di +vigilanza comuni. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/141 + +CAPO VIII +ATTI DELEGATI E ATTI DI ESECUZIONE + +Articolo 38 +Esercizio della delega +1. + +Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo. + +2. +Il potere di adottare atti delegati di cui all'articolo 24, paragrafo 2, è conferito alla Commissione per un periodo di +cinque anni a decorrere dal 16 gennaio 2023. +3. +La delega di potere di cui all'articolo 24, paragrafo 2, può essere revocata in qualsiasi momento dal Parlamento +europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione +decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data +successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore. +4. +Prima dell'adozione dell'atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel +rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016. +5. +Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al +Consiglio. +6. +L'atto delegato adottato a norma dell'articolo 24, paragrafo 2, entra in vigore solo se né il Parlamento europeo né il +Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima +della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non +intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio. + +Articolo 39 +Procedura di comitato +1. + +La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011. + +2. + +Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011. + +3. +Laddove il parere del comitato debba essere ottenuto con procedura scritta, questa si conclude senza esito quando, +entro il termine per la formulazione del parere, il presidente del comitato decida in tal senso o un membro del comitato lo +richieda. + +CAPO IX +DISPOSIZIONI FINALI + +Articolo 40 +Riesame +Entro il 17 ottobre 2027 e successivamente ogni 36 mesi, la Commissione riesamina il funzionamento della presente +direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La relazione valuta in particolare la +pertinenza delle dimensioni dei soggetti interessati, e i settori, sottosettori e tipologie di soggetti di cui agli allegati I e II per +il funzionamento dell'economia e della società in relazione alla cibersicurezza. A tal fine e allo scopo di intensificare +ulteriormente la cooperazione strategica e operativa, la Commissione tiene conto delle relazioni del gruppo di +cooperazione e della rete di CSIRT sull'esperienza acquisita a livello strategico e operativo. La relazione è corredata, se +necessario, di una proposta legislativa. + +L 333/142 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +Articolo 41 +Recepimento +1. +Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente +direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni. +Essi applicano tali disposizioni a decorrere dal 18 ottobre 2024. +2. +Le disposizioni di cui al paragrafo 1 adottate dagli Stati membri contengono un riferimento alla presente direttiva o +sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati +membri. +Articolo 42 +Modifica del regolamento (UE) n. 910/2014 +Nel regolamento (UE) n. 910/2014, l'articolo 19 è soppresso con effetto a decorrere dal 18 ottobre 2024. +Articolo 43 +Modifica della direttiva (UE) 2018/1972 +Nella direttiva (UE) 2018/1972, gli articoli 40 e 41 sono soppressi. con effetto a decorrere dal 18 ottobre 2024. +Articolo 44 +Abrogazione +La direttiva (UE) 2016/1148 è abrogata con effetto a decorrere dal 18 ottobre 2024. +I riferimenti alla direttiva abrogata si intendono fatti alla presente direttiva e vanno letti secondo la tavola di concordanza di +cui all'allegato III. +Articolo 45 +Entrata in vigore +La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione +europea. +Articolo 46 +Destinatari +Gli Stati membri sono destinatari della presente direttiva. + +Fatto a Strasburgo, 14 dicembre 2022 + +Per il Parlamento europeo +La presidente +R. METSOLA + +Per il Consiglio +Il presidente +M. BEK + +SETTORI AD ALTA CRITICITÀ +Settore + +1. + +Energia + +Sottosettore + +a) Energia elettrica + +Tipo di soggetto + +IT + +— Impresa elettrica quale definita all'articolo 2, punto 57), della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio (1) che +esercita attività di «fornitura» quale definita all'articolo 2, punto 12), di tale direttiva + +27.12.2022 + +ALLEGATO I + +— Gestori del sistema di distribuzione quali definiti all'articolo 2, punto 29), della direttiva (UE) 2019/944 +— Gestori del sistema di trasmissione quali definiti all'articolo 2, punto 35), della direttiva (UE) 2019/944 +— Produttori quali definiti all'articolo 2, punto 38), della direttiva (UE) 2019/944 + +b) Teleriscaldamento e — Gestori di teleriscaldamento o teleraffrescamento quali definiti all'articolo 2, punto 19), della direttiva (UE) 2018/2001 del Parlamento +teleraffrescamento +europeo e del Consiglio (3) +c) Petrolio + +— Gestori di oleodotti +— Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio +— Organismi centrali di stoccaggio quali definiti all'articolo 2, lettera f), della direttiva 2009/119/CE del Consiglio (4) + +d) Gas + +— Imprese fornitrici quali definite all'articolo 2, punto 8), della direttiva 2009/73/CE del Parlamento europeo e del Consiglio (5) +— Gestori del sistema di distribuzione quali definiti all'articolo 2, punto 6), della direttiva 2009/73/CE + +Gazzetta ufficiale dell’Unione europea + +— Gestori del mercato elettrico designato quali definiti all'articolo 2, punto 8), del regolamento (UE) 2019/943 del Parlamento europeo e +del Consiglio (2) +— Partecipanti al mercato dell'energia elettrica quali definiti all'articolo 2, punto 25), del regolamento (UE) 2019/943 che forniscono ser­ +vizi di aggregazione, gestione della domanda o stoccaggio di energia quali definiti all'articolo 2, punti 18), 20) e 59) della direttiva (UE) +2019/944 +— Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di rica­ +rica a utenti finali, anche in nome e per conto di un fornitore di servizi di mobilità + +— Gestori del sistema di trasporto quali definiti all'articolo 2, punto 4), della direttiva 2009/73/CE +— Gestori dell'impianto di stoccaggio quali definiti all'articolo 2, punto 10), della direttiva 2009/73/CE +— Gestori del sistema GNL quali definiti all'articolo 2, punto 12), della direttiva 2009/73/CE +— Imprese di gas naturale quali definite all'articolo 2, punto 1), della direttiva 2009/73/CE; +— Gestori di impianti di raffinazione e trattamento di gas naturale +e) Idrogeno + +— Gestori di impianti di produzione, stoccaggio e trasporto di idrogeno + +L 333/143 + +2. + +Trasporti + +Sottosettore + +a) Trasporto aereo + +Tipo di soggetto + +— Vettori aerei quali definiti all'articolo 3, punto 4), del regolamento (CE) n. 300/2008 utilizzati a fini commerciali +— Gestori aeroportuali quali definiti all'articolo 2, punto 2), della direttiva 2009/12/CE del Parlamento europeo e del Consiglio (6), aero­ +porti quali definiti all'articolo 2, punto 1), di tale direttiva, compresi gli aeroporti centrali di cui all'allegato II, sezione 2, del regola­ +mento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio (7), e soggetti che gestiscono impianti annessi situati in aeroporti + +IT + +— Operatori attivi nel controllo della gestione del traffico che forniscono un servizio di controllo del traffico aereo quali definiti all'arti­ +colo 2, punto 1), del regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio (8) + +L 333/144 + +Settore + +b) Trasporto ferroviario — Gestori dell'infrastruttura quali definiti all'articolo 3, punto 2), della direttiva 2012/34/UE del Parlamento europeo e del Consiglio (9) +— Imprese ferroviarie quali definiti all'articolo 3, punto 1), della direttiva 2012/34/UE, compresi gli operatori degli impianti di servizio +quali definiti all'articolo 3, punto 12), di tale direttiva + +— Organi di gestione dei porti quali definiti all'articolo 3, punto 1), della direttiva 2005/65/CE del Parlamento europeo e del Consiglio (11), +compresi i relativi impianti portuali quali definiti all'articolo 2, punto 11), del regolamento (CE) n. 725/2004, e soggetti che gestiscono +opere e attrezzature all'interno di porti +— Gestori di servizi di assistenza al traffico marittimo (VTS) quali definiti all'articolo 3, lettera o), della direttiva 2002/59/CE del Parla­ +mento europeo e del Consiglio (12) +d) Trasporto su strada + +— Autorità stradali quali definite all'articolo 2, punto 12), del regolamento delegato (UE) 2015/962 della Commissione (13) responsabili +del controllo della gestione del traffico, esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione di sistemi di trasporto +intelligenti costituiscono soltanto una parte non essenziale della loro attività generale +— Gestori di sistemi di trasporto intelligenti quali definiti all'articolo 4, punto 1), della direttiva 2010/40/UE del Parlamento europeo e del +Consiglio (14) + +3. + +Settore bancario + +Enti creditizi quali definiti all'articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (15) + +4. + +Infrastrutture dei +mercati finanzia­ +ri + +— Gestori delle sedi di negoziazione quali definiti all'articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Con­ +siglio (16) + +Gazzetta ufficiale dell’Unione europea + +c) Trasporto per vie — Compagnie di navigazione per il trasporto per vie d'acqua interne, marittimo e costiero di passeggeri e merci quali definite per il tra­ +d'acqua +sporto marittimo all'allegato I del regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio (10), escluse le singole navi +gestite da tale compagnia + +— Controparti centrali (CCP) quali definite all'articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Con­ +siglio (17) + +27.12.2022 + +5. + +Settore sanitario + +Sottosettore + +Tipo di soggetto + +— Prestatori di assistenza sanitaria quali definiti all'articolo 3, lettera g), della direttiva 2011/24/UE del Parlamento europeo e del Consi­ +glio (18) + +27.12.2022 + +Settore + +— Laboratori di riferimento dell'UE quali definiti all'articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consi­ +glio (19) + +Acqua potabile + +Fornitori e distributori di acque destinate al consumo umano, quali definiti all'articolo 2, punto 1, lettera a), della direttiva (UE) 2020/2184 +del Parlamento europeo e del Consiglio (22), ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una +parte non essenziale dell'attività generale di distribuzione di altri prodotti e beni + +7. + +Acque reflue + +Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali quali definite all'articolo 2, punti da 1), 2) +e 3), della direttiva 91/271/CEE del Consiglio (23), escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue +urbane, domestiche o industriali è una parte non essenziale della loro attività generale + +8. + +Infrastrutture di­ +gitali + +— Fornitori di punti di interscambio internet +— Fornitori di servizi DNS, esclusi gli operatori dei server dei nomi radice +— Registri dei nomi di dominio di primo livello (TLD) +— Fornitori di servizi di cloud computing +— Fornitori di servizi di data center +— Fornitori di reti di distribuzione dei contenuti (content delivery network) +— Fornitori di servizi fiduciari + +Gazzetta ufficiale dell’Unione europea + +6. + +IT + +— Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all'articolo 1, punto 2), della direttiva +2001/83/CE del Parlamento europeo e del Consiglio (20) +— Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della NACE Rev. 2 +— Soggetti che fabbricano dispositivi medici considerati critici durante un'emergenza di sanità pubblica (elenco dei dispositivi critici per +l'emergenza di sanità pubblica) di cui all'articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio (21) + +— Fornitori di reti pubbliche di comunicazione +— Fornitori di servizi di comunicazione elettronica accessibili al pubblico +9. + +Gestione dei ser­ +vizi TIC (busi­ +ness-to-busi­ +ness) + +— Fornitori di servizi gestiti +— Fornitori di servizi di sicurezza gestiti + +L 333/145 + +10. + +Pubblica ammi­ +nistrazione + +Sottosettore + +Tipo di soggetto + +— Enti della pubblica amministrazione delle amministrazioni centrali quali definiti da uno Stato membro conformemente al diritto nazio­ +nale + +L 333/146 + +Settore + +— Enti della pubblica amministrazione a livello regionale quali definiti da uno Stato membro conformemente al diritto nazionale +11. + +Spazio + +Gazzetta ufficiale dell’Unione europea + +(1) Direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, del 5 giugno 2019, relativa a norme comuni per il mercato interno dell'energia elettrica e che modifica la direttiva 2012/27/UE (GU L 158 del +14.6.2019, pag. 125). +(2) Regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sul mercato interno dell'energia elettrica (GU L 158 del 14.6.2019, pag. 54). +(3) Direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, sulla promozione dell'uso dell'energia da fonti rinnovabili (GU L 328 del 21.12.2018, pag. 82). +(4) Direttiva 2009/119/CE del Consiglio, del 14 settembre 2009, che stabilisce l’obbligo per gli Stati membri di mantenere un livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi (GU L 265 del +9.10.2009, pag. 9). +(5) Direttiva 2009/73/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa a norme comuni per il mercato interno del gas naturale e che abroga la direttiva 2003/55/CE (GU L 211 del +14.8.2009, pag. 94). +(6) Direttiva 2009/12/CE del Parlamento europeo e del Consiglio, dell'11 marzo 2009, concernente i diritti aeroportuali (GU L 70 del 14.3.2009, pag. 11). +(7) Regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio, dell’11 dicembre 2013, sugli orientamenti dell’Unione per lo sviluppo della rete transeuropea dei trasporti e che abroga la decisione +n. 661/2010/UE (GU L 348 del 20.12.2013, pag. 1). +(8) Regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che stabilisce i principi generali per l'istituzione del cielo unico europeo («regolamento quadro») (GU L 96 del +31.3.2004, pag. 1). +(9) Direttiva 2012/34/UE del Parlamento europeo e del Consiglio, del 21 novembre 2012, che istituisce uno spazio ferroviario europeo unico (GU L 343 del 14.12.2012, pag. 32). +(10) Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativo al miglioramento della sicurezza delle navi e degli impianti portuali (GU L 129 del 29.4.2004, pag. 6). +(11) Direttiva 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza dei porti (GU L 310 del 25.11.2005, pag. 28). +(12) Direttiva 2002/59/CE del Parlamento europeo e del Consiglio, del 27 giugno 2002, relativa all’istituzione di un sistema comunitario di monitoraggio del traffico navale e d’informazione e che abroga la +direttiva 93/75/CEE del Consiglio (GU L 208 del 5.8.2002, pag. 10) +(13) Regolamento delegato (UE) 2015/962 della Commissione, del 18 dicembre 2014, che integra la direttiva 2010/40/UE del Parlamento europeo e del Consiglio relativamente alla predisposizione in tutto il +territorio dell'Unione europea di servizi di informazione sul traffico in tempo reale (GU L 157 del 23.6.2015, pag. 21). +(14) Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con +altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1). +(15) Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e che modifica il regolamento (UE) n. 648/2012 (GU L 176 del +27.6.2013, pag. 1). +(16) Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del +12.6.2014, pag. 349). +(17) Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, +pag. 1). +(18) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, +pag. 45). + +IT + +Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi +spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica + +27.12.2022 + +27.12.2022 +IT + +(19) Regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio, del 23 novembre 2022, relativo alle gravi minacce per la salute a carattere transfrontaliero e che abroga la decisione n. 1082/2013/UE +(GU L 314 del 6.12.2022, pag. 26). +(20) Direttiva 2001/83/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai medicinali per uso umano (GU L 311 del 28.11.2001, pag. 67). +(21) Regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio del 25 gennaio 2022 relativo a un ruolo rafforzato dell'Agenzia europea per i medicinali nella preparazione alle crisi e nella loro gestione +in relazione ai medicinali e ai dispositivi medici (GU L 20 del 31.1.2022, pag. 1). +(22) Direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio del 16 dicembre 2020 concernente la qualità delle acque destinate al consumo umano (GU L 435 del 23.12.2020, pag. 1). +(23) Direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, concernente il trattamento delle acque reflue urbane (GU L 135 del 30.5.1991, pag. 40). + +Gazzetta ufficiale dell’Unione europea +L 333/147 + +L 333/148 + +ALLEGATO II +ALTRI SETTORI CRITICI +Settore + +Sottosettore + +Tipo di soggetto + +Fornitori di servizi postali quali definiti all'articolo 2, punto 1 bis), della direttiva 97/67/CE, tra cui i +fornitori di servizi di corriere + +2. + +Gestione dei rifiuti + +Imprese che si occupano della gestione dei rifiuti quali definite all'articolo 3, punto 9), della direttiva +2008/98/CE del Parlamento europeo e del Consiglio (1), escluse quelle per cui la gestione dei rifiuti non +è la principale attività economica + +3. + +Fabbricazione, produzione e di­ +stribuzione di sostanze chimi­ +che + +Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele di +cui all'articolo 3, punti 9) e 14), del regolamento (CE) n. 1907/2006 del Parlamento europeo e del +Consiglio (2) e imprese che si occupano della produzione di articoli quali definite all'articolo 3, punto 3), +del medesimo regolamento, da sostanze o miscele + +4. + +Produzione, trasformazione e +distribuzione di alimenti + +Imprese alimentari quali definite all'articolo 3, punto 2), del regolamento (CE) n. 178/2002 del +Parlamento europeo e del Consiglio (3) che si occupano della distribuzione all'ingrosso e della +produzione industriale e trasformazione + +5. + +Fabbricazione + +a) Fabbricazione di dispositivi medici e di +dispositivi medico-diagnostici in vitro + +Soggetti che fabbricano dispositivi medici quali definiti all'articolo 2, punto 1), del regolamento (UE) +2017/745 del Parlamento europeo e del Consiglio (4) e soggetti che fabbricano dispositivi medicodiagnostici in vitro quali definiti all'articolo 2, punto 2), del regolamento (UE) 2017/746 del Parlamento +europeo e del Consiglio (5) ad eccezione dei soggetti che fabbricano dispositivi medici di cui all'allegato +I, punto 5), quinto trattino, della presente direttiva + +b) Fabbricazione di computer e prodotti di +elettronica e ottica + +Imprese che svolgono attività economiche di cui alla sezione C, divisione 26, della NACE Rev. 2 + +c) Fabbricazione di apparecchiature elet­ +triche + +Imprese che svolgono attività economiche di cui alla sezione C, divisione 27, della NACE Rev. 2 + +d) Fabbricazione di macchinari e apparec­ +chiature n.c.a. + +Imprese che svolgono attività economiche di cui alla sezione C, divisione 28, della NACE Rev. 2 + +e) Fabbricazione di autoveicoli, rimorchi e +semirimorchi + +Imprese che svolgono attività economiche di cui alla sezione C, divisione 29, della NACE Rev. 2 + +f) Fabbricazione di altri mezzi di trasporto + +Imprese che svolgono attività economiche di cui alla sezione C, divisione 30, della NACE Rev. 2 + +Gazzetta ufficiale dell’Unione europea + +Servizi postali e di corriere + +IT + +1. + +27.12.2022 + +6. + +Fornitori di servizi digitali + +Sottosettore + +Tipo di soggetto + +— Fornitori di mercati online +— Fornitori di motori di ricerca online + +27.12.2022 + +Settore + +— Fornitori di piattaforme di servizi di social network +Ricerca + +Organizzazioni di ricerca + +Gazzetta ufficiale dell’Unione europea + +(1) Direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008, relativa ai rifiuti e che abroga alcune direttive (GU L 312 del 22.11.2008, pag. 3). +(2) Regolamento (CE) n. 1907/2006 del Parlamento europeo e del Consiglio, del 18 dicembre 2006, concernente la registrazione, la valutazione, l'autorizzazione e la restrizione delle sostanze chimiche (REACH), +che istituisce un'agenzia europea per le sostanze chimiche, che modifica la direttiva 1999/45/CE e che abroga il regolamento (CEE) n. 793/93 del Consiglio e il regolamento (CE) n. 1488/94 della Commissione, +nonché la direttiva 76/769/CEE del Consiglio e le direttive della Commissione 91/155/CEE, 93/67/CEE, 93/105/CE e 2000/21/CE (GU L 396 del 30.12.2006, pag. 1). +(3) Regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio, del 28 gennaio 2002, che stabilisce i principi e i requisiti generali della legislazione alimentare, istituisce l’Autorità europea per la +sicurezza alimentare e fissa procedure nel campo della sicurezza alimentare (GU L 31 dell’1.2.2002, pag. 1). +(4) Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento +(CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017, pag. 1). +(5) Regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medico-diagnostici in vitro e che abroga la direttiva 98/79/CE e la decisione 2010/227/UE della +Commissione (GU L 117 del 5.5.2017, pag. 176). + +IT + +7. + +L 333/149 + +L 333/150 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +ALLEGATO III + +TAVOLA DI CONCORDANZA +Direttiva (UE) 2016/1148 + +Presente direttiva + +Articolo 1, paragrafo 1 + +Articolo 1, paragrafo 1 + +Articolo 1, paragrafo 2 + +Articolo 1, paragrafo 2 + +Articolo 1, paragrafo 3 + +— + +Articolo 1, paragrafo 4 + +Articolo 2, paragrafo 12 + +Articolo 1, paragrafo 5 + +Articolo 2, paragrafo 13 + +Articolo 1, paragrafo 6 + +Articolo 2, paragrafi 6 e 11 + +Articolo 1, paragrafo 7 + +Articolo 4 + +Articolo 2 + +Articolo 2, paragrafo 14 + +Articolo 3 + +Articolo 5 + +Articolo 4 + +Articolo 6 + +Articolo 5 + +— + +Articolo 6 + +— + +Articolo 7, paragrafo 1 + +Articolo 7, paragrafi 1 e 2 + +Articolo 7, paragrafo 2 + +Articolo 7, paragrafo 4 + +Articolo 7, paragrafo 3 + +Articolo 7, paragrafo 3 + +Articolo 8, paragrafi da 1 a 5 + +Articolo 8, paragrafi da 1 a 5 + +Articolo 8, paragrafo 6 + +Articolo 13, paragrafo 4 + +Articolo 8, paragrafo 7 + +Articolo 8, paragrafo 6 + +Articolo 9, paragrafi 1, 2 e 3 + +Articolo 10, paragrafi 1, 2 e 3 + +Articolo 9, paragrafo 4 + +Articolo 10, paragrafo 9 + +Articolo 9, paragrafo 5 + +Articolo 10, paragrafo 10 + +Articolo 10, paragrafi 1, 2 e 3, primo comma + +Articolo 13, paragrafi 1, 2 e 3 + +Articolo 10, paragrafo 3, secondo comma + +Articolo 23, paragrafo 9 + +Articolo 11, paragrafo 1 + +Articolo 14, paragrafi 1 e 2 + +Articolo 11, paragrafo 2 + +Articolo 14, paragrafo 3 + +Articolo 11, paragrafo 3 + +Articolo 14, paragrafo 4, primo comma, lettere da a) a q) e s), +e paragrafo 7 + +Articolo 11, paragrafo 4 + +Articolo 14, paragrafo 4, primo comma, lettera r), e secondo +comma + +Articolo 11, paragrafo 5 + +Articolo 14, paragrafo 8 + +Articolo 12, paragrafi da 1 a 5 + +Articolo 15, paragrafi da 1 a 5 + +Articolo 13 + +Articolo 17 + +Articolo 14, paragrafi 1 e 2 + +Articolo 21, paragrafi da 1 a 4 + +Articolo 14, paragrafo 3 + +Articolo 23, paragrafo 1 + +Articolo 14, paragrafo 4 + +Articolo 23, paragrafo 3 + +Articolo 14, paragrafo 5 + +Articolo 23, paragrafi 5, 6 e 8 + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +Direttiva (UE) 2016/1148 + +L 333/151 + +Presente direttiva + +Articolo 14, paragrafo 6 + +Articolo 23, paragrafo 7 + +Articolo 14, paragrafo 7 + +Articolo 23, paragrafo 11 + +Articolo 15, paragrafo 1 + +Articolo 31, paragrafo 1 + +Articolo 15, paragrafo 2, primo comma, lettera a) + +Articolo 32, paragrafo 2, lettera e) + +Articolo 15, paragrafo 2, primo comma, lettera b) + +Articolo 32, paragrafo 2, lettera g) + +articolo 15, paragrafo 2, secondo comma + +Articolo 32, paragrafo 3 + +Articolo 15, paragrafo 3 + +Articolo 32, paragrafo 4, lettera b) + +Articolo 15, paragrafo 4 + +Articolo 31, paragrafo 3 + +Articolo 16, paragrafi 1 e 2 + +Articolo 21, paragrafi da 1 e 4 + +Articolo 16, paragrafo 3 + +Articolo 23, paragrafo 1 + +Articolo 16, paragrafo 4 + +Articolo 23, paragrafo 3 + +Articolo 16, paragrafo 5 + +— + +Articolo 16, paragrafo 6 + +Articolo 23, paragrafo 6 + +Articolo 16, paragrafo 7 + +Articolo 23, paragrafo 7 + +Articolo 16, paragrafi 8 e 9 + +Articolo 21, paragrafo 5, e articolo 23, paragrafo 11 + +Articolo 16, paragrafo 10 + +— + +Articolo 16, paragrafo 11 + +Articolo 2, paragrafi 1, 2 e 3 + +Articolo 17, paragrafo 1 + +-Articolo 33, paragrafo 1 + +Articolo 17, paragrafo 2, lettera a) + +Articolo 32, paragrafo 2, lettera e) + +Articolo 17, paragrafo 2, lettera b) + +Articolo 32, paragrafo 4, lettera b) + +Articolo 17, paragrafo 3 + +Articolo 37, paragrafo 1, lettere a) e b) + +Articolo 18, paragrafo 1 + +Articolo 26, paragrafo 1, lettera b), e paragrafo 2 + +Articolo 18, paragrafo 2 + +Articolo 26, paragrafo 3 + +Articolo 18, paragrafo 3 + +Articolo 26, paragrafo 4 + +Articolo 19 + +Articolo 25 + +Articolo 20 + +Articolo 30 + +Articolo 21 + +Articolo 36 + +Articolo 22 + +Articolo 39 + +Articolo 23 + +Articolo 40 + +Articolo 24 + +— + +Articolo 25 + +Articolo 41 + +Articolo 26 + +Articolo 45 + +Articolo 27 + +Articolo 46 + +Allegato I, punto 1 + +Articolo 11, paragrafo 1 + +Allegato I, punto 2, lettera a), punti da i) a iv) + +Articolo 11, paragrafo 2, lettere da a) a d) + +L 333/152 + +IT + +Gazzetta ufficiale dell’Unione europea + +Direttiva (UE) 2016/1148 + +27.12.2022 + +Presente direttiva + +Allegato I, punto 2, lettera a), punto v) + +Articolo 11, paragrafo 2, lettera f) + +Allegato I, punto 2, lettera b) + +Articolo 11, paragrafo 4 + +Allegato I, punto 2, lettera c), punti i) e ii) + +Articolo 11, paragrafo 5, lettera a) + +Allegato II + +Allegato I + +Allegato III, punti 1 e 2 + +Allegato II, punto 6 + +Allegato III, punto 3 + +Allegato I, punto 8 + diff --git a/docs/nis2/Dir2022_2557_UE_ITA.pdf b/docs/nis2/Dir2022_2557_UE_ITA.pdf new file mode 100644 index 0000000..2135f27 Binary files /dev/null and b/docs/nis2/Dir2022_2557_UE_ITA.pdf differ diff --git a/docs/nis2/Dir2022_2557_UE_ITA.pdf.txt b/docs/nis2/Dir2022_2557_UE_ITA.pdf.txt new file mode 100644 index 0000000..6174b85 --- /dev/null +++ b/docs/nis2/Dir2022_2557_UE_ITA.pdf.txt @@ -0,0 +1,2266 @@ +L 333/164 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +DIRETTIVA (UE) 2022/2557 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO +del 14 dicembre 2022 +del Parlamento europeo e del Consiglio relativa alla resilienza dei soggetti critici e che abroga la +direttiva 2008/114/CE del Consiglio +(Testo rilevante ai fini del SEE) + +IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA, + +visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114, + +vista la proposta della Commissione europea, + +previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, + +visto il parere del Comitato economico e sociale europeo (1), + +visto il parere del Comitato delle regioni (2), + +deliberando secondo la procedura legislativa ordinaria (3), + +considerando quanto segue: + +(1) + +In quanto fornitori di servizi essenziali, i soggetti critici svolgono un ruolo indispensabile per il mantenimento di +funzioni vitali della società o di attività economiche nel mercato interno in un’economia dell’Unione sempre più +interdipendente. È pertanto essenziale definire un quadro a livello dell’Unione volto sia a rafforzare la resilienza dei +soggetti critici nel mercato interno, stabilendo norme minime armonizzate, sia ad assistere tali soggetti mediante +misure di sostegno e vigilanza coerenti e dedicate. + +(2) + +La direttiva 2008/114/CE del Consiglio (4) stabilisce una procedura di designazione delle infrastrutture critiche +europee nei settori dell’energia e dei trasporti, il cui danneggiamento o la cui distruzione avrebbe un significativo +impatto transfrontaliero su almeno due Stati membri. Tale direttiva si incentra esclusivamente sulla protezione di +tali infrastrutture. La valutazione di tale direttiva, svolta nel 2019, ha riscontrato tuttavia che, dato il carattere +sempre più interconnesso e transfrontaliero delle operazioni effettuate utilizzando infrastrutture critiche, le misure +di protezione riguardanti solo singole strutture non sono sufficienti per evitare il verificarsi di perturbazioni. È +quindi necessario modificare l’approccio applicato per garantire che si tenga maggiormente conto dei rischi, che il +ruolo e i compiti dei soggetti critici quali fornitori di servizi essenziali per il funzionamento del mercato interno + +(1) GU C 286 del 16.7.2021, pag. 170. +(2) GU C 440 del 29.10.2021, pag. 99. +(3) Posizione del Parlamento europeo del 22 novembre 2022 (non ancora pubblicata nella Gazzetta Ufficiale) e decisione del Consiglio +dell’8 dicembre 2022. +(4) Direttiva 2008/114/CE del Consiglio, dell’8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche +europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/165 + +siano meglio definiti e coerenti, e che siano adottate norme a livello dell’Unione per rafforzare la resilienza di tali +soggetti. I soggetti critici dovrebbero essere in grado di rafforzare la loro capacità di prevenire, proteggere, +rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti +che possono perturbare la fornitura di servizi essenziali. + +(3) + +Sebbene una serie di misure esistenti a livello dell’Unione, quali il Programma europeo per la protezione delle +infrastrutture critiche, e a livello nazionale miri a sostenere la protezione delle infrastrutture critiche nell’Unione, si +dovrebbe fare di più affinché i soggetti che gestiscono tali infrastrutture siano meglio preparati ad affrontare i rischi +per la loro operatività, che potrebbero portare alla perturbazione della fornitura di servizi essenziali. Si dovrebbe +fare di più affinché i soggetti che gestiscono tali infrastrutture siano meglio preparati a un panorama delle sfide +dinamico, che comprende minacce ibride e terroristiche in evoluzione e crescenti interdipendenze fra infrastruttura +e settori. Inoltre, vi è un aumento del rischio fisico dovuto alle catastrofi naturali e ai cambiamenti climatici, che +intensifica la frequenza e la portata degli eventi meteorologici estremi e comporta cambiamenti a lungo termine +delle condizioni climatiche medie che possono ridurre la capacità, l’efficienza e la durata operativa di alcuni tipi di +infrastrutture se non sono in atto misure di adattamento ai cambiamenti climatici. Inoltre, il mercato interno è +caratterizzato da una frammentazione per quanto riguarda l’individuazione dei soggetti critici, in quanto i settori e +le categorie di soggetti rilevanti non sono riconosciuti come critici in modo coerente in tutti gli Stati membri. La +presente direttiva dovrebbe pertanto raggiungere un solido livello di armonizzazione in termini di settori e +categorie di soggetti che rientrano nel suo ambito di applicazione. + +(4) + +Determinati settori dell’economia, come l’energia e i trasporti, sono già regolamentati da atti giuridici settoriali +dell’Unione, ma tali atti giuridici dell’Unione disciplinano unicamente determinati aspetti della resilienza dei soggetti +che operano nell’ambito di tali settori. Per affrontare in modo globale la resilienza dei soggetti critici ai fini del +corretto funzionamento del mercato interno, la presente direttiva crea un quadro generale per affrontare la +resilienza dei soggetti critici rispetto a tutti i rischi, naturali e di origine umana, accidentali e intenzionali. + +(5) + +Le crescenti interdipendenze tra infrastruttura e settori sono il risultato di una rete di fornitura di servizi sempre più +transfrontaliera e interconnessa, che utilizza infrastrutture essenziali in tutta l’Unione nei settori dell’energia, dei +trasporti, bancario, delle acque potabili, delle acque reflue, della produzione, trasformazione e distribuzione di +alimenti, della sanità, dello spazio, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, e di +determinati aspetti della pubblica amministrazione. Il settore spaziale rientra nell’ambito di applicazione della +presente direttiva per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra +possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, pertanto le infrastrutture possedute, gestite o +utilizzate dall’Unione o per suo conto nell’ambito del suo programma spaziale non rientrano nell’ambito di +applicazione della presente direttiva. + +In riferimento al settore energetico e, in particolare, ai metodi di produzione e trasmissione di energia elettrica (per +quanto riguarda la fornitura di energia elettrica), è inteso che, se ritenuto opportuno, la produzione di energia +elettrica può includere le componenti delle centrali nucleari destinate alla trasmissione di energia elettrica ma non +gli elementi specificamente nucleari disciplinati da trattati e dal diritto dell’Unione, compresi i pertinenti atti +giuridici dell’Unione relativi all’energia nucleare. Il processo di identificazione dei soggetti critici nel settore +alimentare dovrebbe rispecchiare adeguatamente la natura del mercato interno in tale settore e le disposizioni di +dettaglio dell’Unione relative ai principi e ai requisiti generali della normativa alimentare e della sicurezza +alimentare. Pertanto, al fine di assicurare che vi sia un approccio proporzionato e rispecchiare adeguatamente il +ruolo e l’importanza di tali soggetti a livello nazionale, tali soggetti critici dovrebbero essere identificati solo tra le +imprese alimentari, con o senza scopo di lucro, pubbliche o private, che operano esclusivamente nella logistica e +nella distribuzione all’ingrosso nonché nella produzione e trasformazione industriale su larga scala e che detengono +una quota di mercato significativa a livello nazionale. Tali interdipendenze implicano che qualsiasi perturbazione di +servizi essenziali, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, +con potenziali ripercussioni negative di ampia portata e a lungo termine sulla fornitura di servizi in tutto il mercato +interno. Gravi crisi, come la pandemia di COVID-19, hanno mostrato la vulnerabilità delle nostre società sempre più +interdipendenti di fronte a rischi di bassa probabilità e impatto elevato. + +L 333/166 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(6) + +I soggetti che intervengono nella fornitura di servizi essenziali devono sempre più spesso rispettare requisiti +divergenti imposti dal diritto nazionale. Il fatto che alcuni Stati membri prevedano per tali soggetti requisiti di +sicurezza meno rigorosi non solo determina diversi livelli di resilienza, ma rischia anche di incidere negativamente +sul mantenimento di funzioni vitali della società o di attività economiche nell’Unione e crea altresì ostacoli al +corretto funzionamento del mercato interno. Gli investitori e le imprese possono fare affidamento su soggetti critici +che sono resilienti e confidare in essi, in quanto l’affidabilità e la fiducia sono pietre angolari di un mercato interno +ben funzionante. Tipi di soggetti simili sono considerati critici da alcuni Stati membri ma non da altri, e quelli +individuati come critici devono soddisfare requisiti divergenti nei vari Stati membri. Ciò crea oneri amministrativi +supplementari e non necessari per le imprese che operano a livello transfrontaliero, in particolare per quelle attive +negli Stati membri con requisiti più rigorosi. Un quadro a livello di Unione determinerebbe quindi anche la +creazione di condizioni di parità per i soggetti critici in tutta l’Unione. + +(7) + +È necessario stabilire norme minime armonizzate per garantire la fornitura di servizi essenziali nel mercato interno, +aumentare la resilienza dei soggetti critici e migliorare la cooperazione transfrontaliera tra le autorità competenti. È +importante che tali norme siano adeguate alle esigenze future in termini di concezione e attuazione, consentendo al +contempo la necessaria flessibilità. È altresì fondamentale migliorare la capacità dei soggetti critici di fornire servizi +essenziali di fronte a una serie diversificata di rischi. + +(8) + +Per conseguire un livello elevato di resilienza, gli Stati membri dovrebbero individuare i soggetti critici che saranno +tenuti a soddisfare specifici requisiti, che saranno oggetto di vigilanza e che riceveranno anche particolare sostegno +e orientamento rispetto a tutti i rischi rilevanti. + +(9) + +Data l’importanza della cibersicurezza per la resilienza dei soggetti critici e a fini di congruenza, dovrebbe essere +assicurato, ogniqualvolta possibile, un approccio coerente fra la presente direttiva e la direttiva (UE) 2022/2555 del +Parlamento europeo e del Consiglio (5). Alla luce della maggiore frequenza e delle particolari caratteristiche dei +rischi informatici, la direttiva (UE) 2022/2555 impone a un’ampia gamma di soggetti requisiti dettagliati per +garantire la propria cibersicurezza. Dato che l’aspetto della cibersicurezza è trattato in modo sufficiente da tale +direttiva (UE) 2022/2555, le materie da essa disciplinate dovrebbero essere escluse dall’ambito di applicazione della +presente direttiva, fermo restando il particolare regime per i soggetti del settore delle infrastrutture digitali. + +(10) + +Qualora le disposizioni di atti giuridici settoriali dell’Unione impongano ai soggetti critici di adottare misure per +rafforzare la propria resilienza o di notificare gli incidenti, e qualora tali requisiti siano riconosciuti dagli Stati +membri come almeno equivalenti ai corrispondenti obblighi stabiliti dalla presente direttiva, le pertinenti +disposizioni della presente direttiva non dovrebbero applicarsi, in modo da evitare duplicazioni e oneri non +necessari. In tal caso dovrebbero applicarsi le pertinenti disposizioni di tali atti giuridici dell’Unione. Qualora non si +applichino le pertinenti disposizioni della presente direttiva, non dovrebbero applicarsi nemmeno le disposizioni di +cui alla presente direttiva in materia di vigilanza ed esecuzione. + +(11) + +La presente direttiva non incide sulle competenze degli Stati membri e delle loro autorità in termini di autonomia +amministrativa né sulla loro responsabilità di salvaguardare la sicurezza nazionale e la difesa o il loro potere di +salvaguardare altre funzioni essenziali dello Stato, in particolare per quanto riguarda la pubblica sicurezza, +l’integrità territoriale e il mantenimento dell’ordine pubblico. L’esclusione degli enti della pubblica amministrazione +dall’ambito di applicazione della presente direttiva dovrebbe applicarsi a enti le cui attività sono svolte +principalmente nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, +compresi l’indagine, l’accertamento e il perseguimento di reati. Tuttavia gli enti della pubblica amministrazione le +cui attività sono connesse solo marginalmente a tali settori dovrebbero continuare a rientrare nell’ambito di +applicazione della presente direttiva. Ai fini della presente direttiva, i soggetti con competenze normative non sono +considerati quali operanti nel settore dell’attività di contrasto e non sono pertanto esclusi per tali motivi dall’ambito +di applicazione della presente direttiva. Gli enti della pubblica amministrazione istituiti congiuntamente con un +paese terzo in virtù di un accordo internazionale sono esclusi dall’ambito di applicazione della presente direttiva. La +presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei paesi terzi. + +(5) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune +elevato di cibersicurezza nell’Unione, che modifica il regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972 e che abroga la +direttiva (UE) 2016/1148 (direttiva NIS 2) (cfr. pagina 80 della presente Gazzetta ufficiale). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/167 + +Taluni soggetti critici operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività +di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, o forniscono servizi esclusivamente agli +enti della pubblica amministrazione che operano principalmente in tali settori. Tenuto conto della responsabilità +degli Stati membri di salvaguardare la sicurezza nazionale e la difesa, gli Stati membri dovrebbero poter decidere +che gli obblighi stabiliti dalla presente direttiva ai soggetti critici non si applichino in tutto o in parte a tali soggetti +critici se i servizi che forniscono o le attività che svolgono sono legati principalmente ai settori della sicurezza +nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il +perseguimento di reati. I soggetti critici le cui attività sono connesse solo marginalmente a tali settori dovrebbero +continuare a rientrare nell’ambito di applicazione della presente direttiva. Nessuno Stato membro dovrebbe essere +tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria sicurezza +nazionale. Sono pertinenti le norme dell’Unione o nazionali per la protezione delle informazioni classificate e gli +accordi di riservatezza. + +(12) + +Al fine di non compromettere la sicurezza nazionale o la sicurezza e gli interessi commerciali dei soggetti critici, +l’accesso alle informazioni sensibili nonché il loro scambio e trattamento dovrebbero essere effettuati in modo +prudente, con particolare attenzione ai canali di trasmissione e alle capacità di archiviazione utilizzate. + +(13) + +Per garantire un approccio globale alla resilienza dei soggetti critici, ciascuno Stato membro dovrebbe disporre di +una strategia per rafforzare la resilienza dei soggetti critici («strategia»). La strategia dovrebbe stabilire le misure e gli +obiettivi strategici da attuare. Ai fini di una maggiore coerenza ed efficienza, la strategia dovrebbe essere concepita +in modo da integrare senza soluzione di continuità le politiche esistenti basandosi, ove possibile, su pertinenti +strategie a livello nazionale e settoriale, piani o documenti analoghi esistenti. Ai fini della realizzazione di un +approccio globale, gli Stati membri dovrebbero provvedere affinché le loro strategie prevedano un quadro strategico +per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e le autorità +competenti a norma della direttiva (UE) 2022/2555 nel contesto della condivisione delle informazioni sui rischi di +cibersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, minacce e incidenti non informatici e nel +contesto dello svolgimento di compiti di vigilanza. Nell’attuare le proprie strategie, gli Stati membri dovrebbero +tenere debitamente conto della natura ibrida delle minacce ai soggetti critici. + +(14) + +Gli Stati membri dovrebbero comunicare alla Commissione le loro strategie e i relativi aggiornamenti sostanziali, in +particolare al fine di consentire alla Commissione di valutare la corretta applicazione della presente direttiva per +quanto riguarda gli approcci strategici in materia di resilienza dei soggetti critici a livello nazionale. Se necessario, le +strategie potrebbero essere comunicate sotto forma di informazioni classificate. La Commissione dovrebbe elaborare +una relazione di sintesi delle strategie comunicate dagli Stati membri che funga da base per gli scambi al fine di +individuare le migliori prassi e le questioni di interesse comune nel quadro del gruppo per la resilienza dei soggetti +critici. Data la natura sensibile delle informazioni aggregate incluse nella relazione di sintesi, siano esse classificate o +meno, la Commissione dovrebbe gestire tale relazione di sintesi con un adeguato livello di consapevolezza riguardo +alla sicurezza dei soggetti critici, degli Stati membri e dell’Unione. La relazione di sintesi e le strategie dovrebbero +essere salvaguardate contro azioni illecite o dolose e dovrebbero essere accessibili solo alle persone autorizzate al +fine di conseguire gli obiettivi della presente direttiva. La comunicazione delle strategie e dei loro aggiornamenti +sostanziali dovrebbe inoltre servire ad aiutare la Commissione a comprendere gli sviluppi negli approcci alla +resilienza dei soggetti critici e contribuire al monitoraggio dell’impatto e del valore aggiunto della presente direttiva, +che la Commissione è tenuta a riesaminare periodicamente. + +(15) + +Le azioni degli Stati membri per individuare i soggetti critici e contribuire a garantirne la resilienza dovrebbero +seguire un approccio basato sui rischi incentrato sui soggetti maggiormente rilevanti per lo svolgimento di funzioni +vitali della società o di attività economiche. Per garantire un tale approccio mirato, ciascuno Stato membro dovrebbe +effettuare, in un quadro armonizzato, una valutazione dei rischi rilevanti, naturali e di origine umana, compresi +quelli di natura intersettoriale o transfrontaliera, che potrebbero ripercuotersi negativamente sulla fornitura di +servizi essenziali, compresi gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica come le pandemie e le +minacce ibride o altre minacce antagoniste, inclusi i reati di terrorismo, le infiltrazioni criminali e il sabotaggio +(«valutazione del rischio dello Stato membro»). Nell’effettuare tali valutazioni del rischio dello Stato membro, gli +Stati membri dovrebbero tenere conto di altre valutazioni del rischio generali o settoriali svolte ai sensi di altri atti +giuridici dell’Unione, e dovrebbero prendere in considerazione la misura in cui i settori dipendono l’uno dall’altro, +compresi i settori di altri Stati membri e di paesi terzi. I risultati della valutazione del rischio dello Stato membro +dovrebbero essere utilizzati ai fini dell’individuazione dei soggetti critici e di aiutare tali soggetti a conformarsi ai + +L 333/168 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +rispettivi obblighi in materia di resilienza. La presente direttiva si applica solo agli Stati membri e ai soggetti critici +che operano all’interno dell’Unione. Tuttavia, le competenze e le conoscenze generate dalle autorità competenti, in +particolare attraverso le valutazioni del rischio, e dalla Commissione, in particolare attraverso varie forme di +sostegno e cooperazione, potrebbero essere utilizzate, se del caso e conformemente agli strumenti giuridici +applicabili, a beneficio dei paesi terzi, in particolare quelli situati nell’immediato vicinato dell’Unione, alimentando +la cooperazione esistente in materia di resilienza. + +(16) + +Per garantire che tutti i soggetti rilevanti siano soggetti alle prescrizioni in materia di resilienza della presente +direttiva e per ridurre le divergenze a tale riguardo, è importante stabilire norme armonizzate che consentano +un’individuazione coerente dei soggetti critici in tutta l’Unione, consentendo al tempo stesso agli Stati membri di +riflettere adeguatamente il ruolo e l’importanza di tali soggetti a livello nazionale. Nell’applicare i criteri stabiliti +nella presente direttiva, ciascun Stato membro dovrebbe individuare i soggetti che forniscono uno o più servizi +essenziali e che gestiscono e dispongono di infrastrutture critiche situate nel proprio territorio. Si dovrebbe ritenere +che un soggetto operi nel territorio di uno Stato membro in cui svolge le attività necessarie per il servizio o i servizi +essenziali in questione e in cui è ubicata l’infrastruttura critica di detto soggetto utilizzata per fornire tale servizio o +tali servizi. Qualora in uno Stato membro non esista un soggetto che soddisfi tali criteri, tale Stato membro non +dovrebbe avere l’obbligo di individuare un soggetto critico nel settore o sottosettore corrispondente. Ai fini di +efficacia, efficienza, coerenza e certezza del diritto, dovrebbero essere stabilite norme adeguate in materia di notifica +ai soggetti individuati come critici. + +(17) + +Gli Stati membri dovrebbero trasmettere alla Commissione, in modo da conseguire gli obiettivi della presente +direttiva, un elenco dei servizi essenziali, il numero di soggetti critici individuati per ciascuno dei settori e +sottosettori di cui all’allegato e per il servizio o i servizi essenziali che ogni soggetto fornisce e, se applicate, le soglie. +Dovrebbe essere possibile presentare le soglie come tali o in forma aggregata, il che significa che le informazioni +possono essere comunicate nei valori medi per area geografica, per anno, per settore, per sottosettore, o con altri +mezzi, e possono includere informazioni sulla gamma degli indicatori forniti. + +(18) + +Dovrebbero essere stabiliti criteri per determinare la rilevanza degli effetti negativi prodotti da un incidente. Tali +criteri dovrebbero basarsi su quelli di cui alla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (6) +per sfruttare al meglio gli sforzi compiuti dagli Stati membri per individuare gli operatori dei servizi essenziali di cui +a tale direttiva e per trarre insegnamento dall’esperienza acquisita in materia. Gravi crisi, come la pandemia di +COVID-19, hanno dimostrato l’importanza di garantire la sicurezza della catena di approvvigionamento e come la +sua perturbazione possa avere ripercussioni economiche e sociali negative in un gran numero di settori e a livello +transfrontaliero. Pertanto, nel determinare la misura in cui altri settori e sottosettori dipendono dai servizi essenziali +forniti da un soggetto critico, gli Stati membri dovrebbero tenere conto, per quanto possibile, anche degli effetti sulla +catena di approvvigionamento. + +(19) + +Conformemente al diritto dell’Unione e nazionale applicabile, compreso il regolamento (UE) 2019/452 del +Parlamento europeo e del Consiglio (7) che istituisce un quadro per il controllo degli investimenti esteri diretti +nell’Unione, occorre prendere atto della potenziale minaccia rappresentata dalla proprietà estera di infrastrutture +critiche all’interno dell’Unione, poiché dal corretto funzionamento delle infrastrutture critiche dipendono i servizi, +l’economia, la libera circolazione e la sicurezza dei cittadini dell’Unione. + +(20) + +La direttiva (UE) 2022/2555 impone ai soggetti che appartengono al settore delle infrastrutture digitali, che +potrebbero essere considerati soggetti critici ai sensi della presente direttiva, di adottare misure tecniche, operative e +organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete e per +notificare incidenti e minacce informatiche significativi. Poiché le minacce alla sicurezza dei sistemi informatici e di +rete possono avere origini diverse, la direttiva (UE) 2022/2555 applica un approccio «multirischio» che comprende +la resilienza dei sistemi informatici e di rete nonché dei componenti e ambienti fisici di tali sistemi. + +(6) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di +sicurezza delle reti e dei sistemi informativi nell’Unione (GU L 194 del 19.7.2016, pag. 1). +(7) Regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio, del 19 marzo 2019, che istituisce un quadro per il controllo +degli investimenti esteri diretti nell’Unione (GU L 79I del 21.3.2019, pag. 1). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/169 + +Dato che le prescrizioni previste dalla direttiva (UE) 2022/2555 a tale riguardo sono almeno equivalenti ai +corrispondenti obblighi previsti dalla presente direttiva, gli obblighi previsti dall’articolo 11 e dai capi III, IV e VI +della presente direttiva non dovrebbero applicarsi ai soggetti che appartengono al settore delle infrastrutture digitali +al fine di evitare duplicazioni e oneri amministrativi non necessari. Tuttavia, considerata l’importanza dei servizi +forniti dai soggetti che appartengono al settore delle infrastrutture digitali ai soggetti critici appartenenti a tutti gli +altri settori, gli Stati membri dovrebbero individuare quali critici, in base ai criteri previsti dalla presente direttiva e +ricorrendo alla procedura ivi stabilita, i soggetti che appartengono al settore delle infrastrutture digitali. Di +conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di +sostegno di cui al capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere in vigore +disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a +condizione che dette disposizioni siano coerenti con il diritto dell’Unione applicabile. + +(21) + +Il diritto dell’Unione in materia di servizi finanziari stabilisce per i soggetti finanziari requisiti dettagliati di gestione +di tutti i rischi cui sono esposti, compresi i rischi operativi, e di garanzia di continuità operativa. Tale diritto include +i regolamenti (UE) n. 648/2012 (8), (UE) n. 575/2013 (9) e (UE) n. 600/2014 (10) del Parlamento europeo e del +Consiglio e le direttive 2013/36/UE (11) e 2014/65/UE (12) del Parlamento europeo e del Consiglio. Tale quadro +giuridico è integrato dal regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (13), che stabilisce gli +obblighi applicabili ai soggetti finanziari per la gestione dei rischi informatici, anche per quanto riguarda la +protezione delle infrastrutture delle tecnologie dell’informazione e della comunicazione fisiche. Dato che la +resilienza di tali soggetti è pertanto esaurientemente disciplinata, l’articolo 11 e i capi III, IV e VI della presente +direttiva non dovrebbero applicarsi a tali soggetti, al fine di evitare duplicazioni e oneri amministrativi non necessari. + +Tuttavia, considerata l’importanza dei servizi forniti dai soggetti del settore finanziario ai soggetti critici appartenenti +a tutti gli altri settori, gli Stati membri dovrebbero individuare quali soggetti critici, in base ai criteri previsti dalla +presente direttiva e ricorrendo alla procedura ivi stabilita, i soggetti del settore finanziario. Di conseguenza, +dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al +capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere in vigore disposizioni di +diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a condizione che tali +disposizioni siano coerenti con il diritto dell’Unione applicabile. + +(22) + +Gli Stati membri dovrebbero designare o istituire le autorità competenti a vigilare sull’applicazione delle norme della +presente direttiva e, ove necessario, a farle rispettare, e dovrebbero provvedere affinché tali autorità dispongano di +poteri e risorse adeguate. Alla luce delle differenze esistenti tra le strutture amministrative nazionali, al fine di +salvaguardare gli accordi settoriali esistenti o gli organismi di vigilanza e di regolamentazione dell’Unione, e al fine +di evitare duplicazioni, è opportuno che gli Stati membri abbiano la facoltà di designare o istituire più di un’autorità +nazionale competente. Qualora gli Stati membri designino o istituiscano più di un’autorità competente dovrebbero +delineare chiaramente i rispettivi compiti delle autorità interessate e garantire fra di esse una cooperazione agevole +ed efficace. Tutte le autorità competenti dovrebbero inoltre cooperare in modo più generale con le altre autorità +rilevanti, sia a livello dell’Unione sia a livello nazionale. + +(8) Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti +centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1). +(9) Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli +enti creditizi e che modifica il regolamento (UE) n. 648/2012 (GU L 176 del 27.6.2013, pag. 1). +(10) Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e +che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84). +(11) Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull’accesso all’attività degli enti creditizi e sulla +vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive +2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338). +(12) Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che +modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349). +(13) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale +per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e +(UE) 2016/1011 (cfr. pagina 1 della presente Gazzetta ufficiale). + +L 333/170 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +(23) + +Al fine di agevolare la cooperazione e la comunicazione transfrontaliere e per consentire l’efficace attuazione della +presente direttiva, ogni Stato membro dovrebbe, ferme restando le prescrizioni degli atti giuridici settoriali +dell’Unione, designare un punto di contatto unico incaricato di coordinare le questioni relative alla resilienza dei +soggetti critici e la cooperazione transfrontaliera a livello dell’Unione («punto di contatto unico»), ove opportuno +all’interno di un’autorità competente. Ciascun punto di contatto unico dovrebbe fungere da collegamento e +coordinare le comunicazioni, ove opportuno, con le autorità competenti del proprio Stato membro, con i punti di +contatto unici degli altri Stati membri e con il gruppo per la resilienza dei soggetti critici. + +(24) + +Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/ +2555 dovrebbero cooperare e scambiarsi informazioni in relazione ai rischi di cibersicurezza, alle minacce e agli +incidenti informatici nonché ai rischi, alle minacce e agli incidenti non informatici che hanno ripercussioni sui +soggetti critici, così come in relazione alle misure pertinenti adottate dalle autorità competenti ai sensi della +presente direttiva e dalle autorità competenti ai sensi della direttiva (UE) 2022/2555 È importante che gli Stati +membri provvedano affinché le prescrizioni di cui alla presente direttiva e di cui alla direttiva (UE) 2022/2555 siano +attuate in modo complementare e che sui soggetti critici non gravi un onere amministrativo superiore a quanto +necessario per conseguire gli obiettivi della presente direttiva e di tale direttiva. + +(25) + +Gli Stati membri dovrebbero sostenere i soggetti critici, compresi quelli che si qualificano come piccole e medie +imprese, nel rafforzamento della loro resilienza, nel rispetto degli obblighi degli Stati membri stabiliti dalla presente +direttiva, ferma restando la responsabilità giuridica dei soggetti critici stessi quanto al garantire tale ottemperanza, e +nel farlo dovrebbero evitare oneri amministrativi eccessivi. Gli Stati membri potrebbero in particolare sviluppare +materiali e metodologie di orientamento, contribuire all’organizzazione di esercitazioni per testare la resilienza dei +soggetti critici e fornire consulenza e corsi di formazione per il personale dei soggetti critici. Ove necessario e +giustificato da obiettivi di interesse pubblico, gli Stati membri potrebbero fornire risorse finanziarie e dovrebbero +agevolare la condivisione volontaria di informazioni e lo scambio di buone prassi fra soggetti critici, ferma restando +l’applicazione delle norme in materia di concorrenza stabilite nel trattato sul funzionamento dell’Unione europea +(TFUE). + +(26) + +Al fine di rafforzare la resilienza dei soggetti critici individuati dagli Stati membri e di ridurre gli oneri amministrativi +per tali soggetti critici, le autorità competenti dovrebbero consultarsi ogniqualvolta sia opportuno al fine di garantire +un’applicazione coerente della presente direttiva. Tali consultazioni dovrebbero essere avviate su richiesta di qualsiasi +autorità competente interessata e dovrebbero incentrarsi sulla garanzia di un approccio convergente nei confronti di +soggetti critici interconnessi che utilizzano infrastrutture critiche fisicamente collegate tra due o più Stati membri, +che appartengono agli stessi gruppi o strutture societarie o che sono stati individuati in uno Stato membro e +forniscono servizi essenziali ad altri Stati membri o in altri Stati membri. + +(27) + +Qualora le disposizioni del diritto dell’Unione o nazionale richiedano ai soggetti critici di valutare i rischi rilevanti ai +fini della presente direttiva e di adottare misure per garantire la propria resilienza, tali obblighi dovrebbero essere +adeguatamente presi in considerazione ai fini della vigilanza sul rispetto della presente direttiva da parte dei soggetti +critici. + +(28) + +I soggetti critici dovrebbero avere una conoscenza esaustiva dei rischi rilevanti a cui sono esposti e il dovere di +analizzarli. A tal fine, dovrebbero effettuare valutazioni del rischio ogniqualvolta necessario date le loro specifiche +circostanze e l’evolversi di tali rischi, e in ogni caso ogni quattro anni, al fine di valutare tutti i rischi rilevanti che +potrebbero perturbare in modo significativo la fornitura dei loro servizi essenziali («valutazione del rischio dei +soggetti critici»). Qualora i soggetti critici abbiano effettuato altre valutazioni del rischio o redatto documenti +conformemente agli obblighi previsti da altri atti giuridici pertinenti per la loro valutazione del rischio dei soggetti +critici, essi dovrebbero poter utilizzare tali valutazioni e documenti per soddisfare i requisiti di cui alla presente +direttiva che riguardano le valutazioni del rischio dei soggetti critici. Un’autorità competente dovrebbe poter +dichiarare che una valutazione del rischio esistente effettuata da un soggetto critico che affronta i rischi rilevanti e il +relativo grado di dipendenza, è conforme, in tutto o in parte, agli obblighi previsti dalla presente direttiva. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/171 + +(29) + +I soggetti critici dovrebbero adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate ai rischi +cui sono esposti, allo scopo di prevenire gli incidenti, di proteggersi da essi, di darvi risposta, di resistervi, di mitigarli, +assorbirli, di adattarvisi e di ripristinare le proprie capacità operative. I soggetti critici dovrebbero adottare tali misure +in conformità della presente direttiva, ma i dettagli e la portata di tali misure dovrebbero rispecchiare in modo +adeguato e proporzionato i vari rischi che ciascun soggetto critico ha identificato nell’ambito della sua valutazione +del rischio del soggetto critico e le specificità del soggetto stesso. Per promuovere un approccio coerente a livello di +Unione, la Commissione dovrebbe, previa consultazione del gruppo per la resilienza dei soggetti critici, adottare +linee guida non vincolanti per specificare ulteriormente tali misure tecniche, di sicurezza e organizzative. Gli Stati +membri dovrebbero provvedere affinché ciascun soggetto critico designi un funzionario di collegamento o +equivalente come punto di contatto con le autorità competenti. + +(30) + +A fini di efficacia e di responsabilizzazione, i soggetti critici dovrebbero descrivere le misure da essi adottate con un +livello di dettaglio che consegua sufficientemente gli obiettivi di efficacia e di responsabilizzazione stabiliti, tenuto +conto dei rischi individuati, in un piano di resilienza o in uno o più documenti equivalenti a un piano di resilienza, e +dovrebbero mettere in pratica tale piano. Qualora un soggetto critico abbia già adottato misure tecniche, di sicurezza +e organizzative e redatto documenti conformemente ad altri atti giuridici pertinenti per le misure di rafforzamento +della resilienza ai sensi della presente direttiva, esso dovrebbe poter utilizzare tali misure e documenti per soddisfare +i requisiti riguardo alle misure di resilienza di cui alla presente direttiva. Al fine di evitare duplicazioni, un’autorità +competente dovrebbe poter dichiarare conformi ai requisiti della presente direttiva, in tutto o in parte, misure di +resilienza esistenti adottate da un soggetto critico che rispondono ai suoi obblighi di adottare misure tecniche, di +sicurezza e organizzative ai sensi della presente direttiva. + +(31) + +I regolamenti (CE) n. 725/2004 (14) e (CE) n. 300/2008 (15) del Parlamento europeo e del Consiglio e la direttiva +2005/65/CE del Parlamento europeo e del Consiglio (16) stabiliscono requisiti applicabili ai soggetti dei settori del +trasporto aereo e marittimo per prevenire incidenti causati da atti illeciti, resistere alle conseguenze di tali incidenti e +mitigarle. Se le misure imposte ai sensi della presente direttiva sono più ampie in termini di rischi affrontati e di tipi +di misure da prendere, i soggetti critici di tali settori dovrebbero rispecchiare, nel loro piano di resilienza o nei +documenti equivalenti, le misure adottate ai sensi di tali altri atti giuridici dell’Unione. I soggetti critici dovrebbero +prendere in considerazione anche la direttiva 2008/96/CE del Parlamento europeo e del Consiglio (17) che introduce +una valutazione delle strade a livello di rete per la mappatura del rischio di incidenti e un’ispezione di sicurezza +stradale mirata per individuare condizioni pericolose, difetti e problemi che aumentano il rischio di incidenti e +lesioni, sulla base di sopralluoghi in strade o in tratti di strada esistenti. Assicurare la protezione e la resilienza dei +soggetti critici riveste la massima importanza per il settore ferroviario e, nell’attuare le misure di resilienza ai sensi +della presente direttiva, i soggetti critici sono incoraggiati a richiamarsi a linee guida non vincolanti e a documenti +su buone prassi sviluppati in aree di lavoro settoriali, come la piattaforma per la sicurezza dei passeggeri ferroviari +nell’UE istituita dalla decisione della Commissione 2018/C 232/03 (18). + +(32) + +Il rischio che i dipendenti di soggetti critici o i loro contraenti facciano un uso improprio, ad esempio, dei loro diritti +di accesso all’interno dell’organizzazione del soggetto critico per nuocere e provocare danni desta sempre maggiori +preoccupazioni. Gli Stati membri dovrebbero pertanto precisare le condizioni in base alle quali i soggetti critici +sono autorizzati, in casi debitamente motivati e tenendo conto delle valutazioni del rischio dello Stato membro, a +presentare richieste di controlli dei precedenti personali per le persone che rientrano in specifiche categorie del loro +personale. È opportuno garantire che le pertinenti autorità valutino le richieste entro un lasso di tempo ragionevole e +che le trattino conformemente al diritto e alle procedure nazionali, e al diritto dell’Unione pertinente e applicabile, +anche in materia di protezione dei dati personali. Al fine di confermare l’identità di una persona oggetto di un +controllo dei precedenti personali, è opportuno che gli Stati membri richiedano un documento di identità come un +passaporto, una carta d’identità nazionale o una forma di identificazione digitale, conformemente al diritto +applicabile. + +(14) Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativo al miglioramento della sicurezza +delle navi e degli impianti portuali (GU L 129 del 29.4.2004, pag. 6). +(15) Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’11 marzo 2008, che istituisce norme comuni per la +sicurezza dell’aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72). +(16) Direttiva 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza dei porti +(GU L 310 del 25.11.2005, pag. 28). +(17) Direttiva 2008/96/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008, sulla gestione della sicurezza delle +infrastrutture stradali (GU L 319 del 29.11.2008, pag. 59). +(18) Decisione della Commissione, del 29 giugno 2018, che istituisce la piattaforma per la sicurezza dei passeggeri ferroviari nell’UE, +2018/C 232/03 (GU C 232 del 3.7.2018, pag. 10). + +L 333/172 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +I controlli dei precedenti personali dovrebbero includere i registri dei precedenti penali della persona interessata. Gli +Stati membri dovrebbero utilizzare il sistema europeo di informazione sui casellari giudiziali conformemente alle +procedure stabilite nella decisione quadro 2009/315/GAI del Consiglio (19) e, ove pertinente e applicabile, nel +regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio (20) al fine di ottenere informazioni dai registri +dei precedenti penali tenuti da altri Stati membri. Se pertinente e applicabile, gli Stati membri potrebbero inoltre +basarsi sul sistema d’informazione Schengen di seconda generazione (SIS II) istituito dal regolamento +(UE) 2018/1862 del Parlamento europeo e del Consiglio (21), su informazioni di intelligence e su qualsiasi altra +informazione oggettiva disponibile che possa essere necessaria per determinare l’idoneità della persona interessata a +occupare la funzione in relazione alla quale il soggetto critico ha richiesto un controllo dei precedenti personali. + +(33) + +È opportuno stabilire un meccanismo per la notifica di determinati incidenti che consenta alle autorità competenti di +reagire rapidamente e adeguatamente agli incidenti e di avere un quadro globale dell’impatto, della natura, delle cause +e delle possibili conseguenze di un incidente affrontato dai soggetti critici. I soggetti critici dovrebbero notificare +senza indebito ritardo alle autorità competenti gli incidenti che perturbano in modo significativo o possono +perturbare in modo significativo la fornitura di servizi essenziali. A meno che siano operativamente impossibilitati a +farlo, i soggetti critici dovrebbero effettuare una notifica iniziale entro 24 ore dal momento in cui sono venuti a +conoscenza di un incidente. La notifica iniziale dovrebbe contenere solo le informazioni strettamente necessarie per +informare l’autorità competente dell’incidente e consentire al soggetto critico di chiedere assistenza, se necessario. +Tale notifica dovrebbe indicare, ove possibile, la causa presunta dell’incidente. Gli Stati membri dovrebbero +garantire che l’obbligo di effettuare tale notifica iniziale non sottragga le risorse del soggetto critico alle attività +relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. La notifica iniziale dovrebbe +essere seguita, se del caso, da una relazione dettagliata entro un mese dall’incidente. La relazione dettagliata +dovrebbe integrare la notifica iniziale e fornire un quadro più completo dell’incidente. + +(34) + +È opportuno che la normazione resti un processo essenzialmente guidato dal mercato. Potrebbero tuttavia sussistere +situazioni in cui è opportuno richiedere l’osservanza di determinate norme. È opportuno che gli Stati membri +incoraggino, se utile, l’utilizzo di norme e specifiche tecniche europee e internazionali riguardanti le misure sulla +sicurezza e le misure sulla resilienza applicabili ai soggetti critici. + +(35) + +Mentre i soggetti critici, in generale, operano in una rete sempre più interconnessa di fornitura di servizi e di +infrastrutture e spesso erogano servizi essenziali in più di uno Stato membro, alcuni di tali soggetti critici sono di +particolare rilevanza per l’Unione e per il mercato interno poiché forniscono servizi essenziali a o in sei o più Stati +membri, e potrebbero perciò beneficiare di un sostegno specifico a livello dell’Unione. Dovrebbero pertanto essere +definite le norme riguardanti le missioni di consulenza a favore di tali soggetti critici di particolare rilevanza +europea. Tali norme non pregiudicano le disposizioni sulla vigilanza e sull’esecuzione di cui alla presente direttiva. + +(36) + +Su richiesta motivata della Commissione o di uno o più Stati membri a cui o in cui è fornito il servizio essenziale, +qualora sia necessario disporre di ulteriori informazioni per poter consigliare un soggetto critico quanto +all’adempimento degli obblighi stabiliti dalla presente direttiva o per poter valutare il rispetto di tali obblighi da +parte di un soggetto critico di particolare rilevanza europea, lo Stato membro che ha individuato un soggetto critico +di particolare rilevanza europea come soggetto critico dovrebbe fornire alla Commissione determinate informazioni +di cui alla presente direttiva. In accordo con lo Stato membro che ha individuato il soggetto critico di particolare +rilevanza europea come soggetto critico, la Commissione dovrebbe poter organizzare una missione di consulenza +per valutare le misure predisposte da tale soggetto. Per garantire che tali missioni di consulenza siano effettuate +correttamente dovrebbero essere stabilite disposizioni complementari, in particolare sull’organizzazione e sullo +svolgimento delle missioni di consulenza, sul seguito da dare e sugli obblighi dei soggetti critici di particolare + +(19) Decisione quadro 2009/315/GAI del Consiglio, del 26 febbraio 2009, relativa all’organizzazione e al contenuto degli scambi fra gli +Stati membri di informazioni estratte dal casellario giudiziario (GU L 93 del 7.4.2009, pag. 23). +(20) Regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio, del 17 aprile 2019, che istituisce un sistema centralizzato per +individuare gli Stati membri in possesso di informazioni sulle condanne pronunciate a carico di cittadini di paesi terzi e apolidi +(ECRIS-TCN) e integrare il sistema europeo di informazione sui casellari giudiziali, e che modifica il regolamento (UE) 2018/1726 +(GU L 135 del 22.5.2019, pag. 1). +(21) Regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio, del 28 novembre 2018, sull’istituzione, l’esercizio e l’uso del +sistema d’informazione Schengen (SIS) nel settore della cooperazione di polizia e della cooperazione giudiziaria in materia penale, che +modifica e abroga la decisione 2007/533/GAI del Consiglio e che abroga il regolamento (CE) n. 1986/2006 del Parlamento europeo e +del Consiglio e la decisione 2010/261/UE della Commissione (GU L 312 del 7.12.2018, pag. 56). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/173 + +rilevanza europea interessati. Fermo restando il dovere, per lo Stato membro in cui si svolge la missione di +consulenza e per il soggetto critico interessato, di rispettare le disposizioni stabilite dalla presente direttiva, la +missione di consulenza dovrebbe essere condotta in ottemperanza delle specifiche norme della legislazione di tale +Stato membro, ad esempio sulle precise condizioni da soddisfare per ottenere l’accesso ai locali o ai documenti +rilevanti e sul ricorso giurisdizionale. Le specifiche competenze necessarie per tali missioni di consulenza +potrebbero, se del caso, essere chieste tramite il centro di coordinamento della risposta alle emergenze istituito dalla +decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio (22). + +(37) + +Per sostenere la Commissione e agevolare la cooperazione tra gli Stati membri e lo scambio di informazioni, +comprese le migliori prassi, su questioni relative alla presente direttiva, dovrebbe essere istituito un gruppo per la +resilienza dei soggetti critici come gruppo di esperti della Commissione. Gli Stati membri dovrebbero adoperarsi +per garantire che i rappresentanti designati delle loro autorità competenti nel gruppo per la resilienza dei soggetti +critici cooperino in modo efficace ed efficiente, anche designando rappresentanti in possesso, se del caso, di un +nulla osta di sicurezza. Il gruppo per la resilienza dei soggetti critici dovrebbe cominciare a espletare le sue funzioni +il più rapidamente possibile, in modo da fornire strumenti supplementari per una cooperazione adeguata durante il +periodo di recepimento della direttiva, e dovrebbe interagire con altri pertinenti gruppi di lavoro di esperti settoriali. + +(38) + +Il gruppo per la resilienza dei soggetti critici dovrebbe cooperare con il gruppo di cooperazione istituito ai sensi della +direttiva (UE) 2022/2555 al fine di sostenere un quadro globale per la resilienza informatica e non informatica dei +soggetti critici. Il gruppo per la resilienza dei soggetti critici e il gruppo di cooperazione istituito ai sensi della +direttiva (UE) 2022/2555 dovrebbero avviare un dialogo regolare volto a promuovere la cooperazione tra le +autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 e +ad agevolare lo scambio di informazioni, in particolare su temi rilevanti per entrambi i gruppi. + +(39) + +Per conseguire gli obiettivi della presente direttiva, e ferma restando la responsabilità giuridica degli Stati membri e +dei soggetti critici quanto al garantire l’ottemperanza ai rispettivi obblighi ivi stabiliti, la Commissione dovrebbe, +ove lo ritenga opportuno, sostenere le autorità competenti e i soggetti critici allo scopo di agevolare l’adempimento +dei loro rispettivi obblighi. Nel fornire sostegno agli Stati membri e ai soggetti critici nell’attuazione degli obblighi +stabiliti dalla presente direttiva la Commissione dovrebbe basarsi sulle strutture e sugli strumenti esistenti, come +quelli previsti dal meccanismo di protezione civile dell’Unione, istituito dalla decisione n. 1313/2013/UE, e dalla +rete europea di riferimento per la protezione delle infrastrutture critiche. Dovrebbe inoltre informare gli Stati +membri in merito alle risorse disponibili a livello dell’Unione, ad esempio nell’ambito del Fondo Sicurezza interna, +istituito dal regolamento (UE) 2021/1149 del Parlamento europeo e del Consiglio (23), di Orizzonte Europa, istituito +dal regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio (24), o di altri strumenti pertinenti per la +resilienza dei soggetti critici. + +(40) + +Gli Stati membri dovrebbero provvedere affinché le loro autorità competenti dispongano di certi poteri specifici per +la corretta applicazione ed esecuzione della presente direttiva nei confronti dei soggetti critici, qualora tali soggetti +rientrino nella loro giurisdizione come specificato nella direttiva. Tali poteri dovrebbero includere, in particolare, il +potere di effettuare ispezioni e controlli, il potere di vigilanza, il potere di richiedere ai soggetti critici di fornire +informazioni e prove riguardanti le misure adottate per adempiere ai loro obblighi e, ove necessario, il potere di +emettere provvedimenti per porre rimedio alle violazioni riscontrate. Nell’emettere tali provvedimenti, gli Stati +membri non dovrebbero imporre misure che vadano oltre quanto necessario e proporzionato per garantire +l’adempimento degli obblighi da parte dei soggetti critici interessati, tenendo conto in particolare della gravità della +violazione e della capacità economica del soggetto critico interessato. Più in generale, tali poteri dovrebbero essere +accompagnati da garanzie adeguate ed efficaci da specificarsi nella normativa nazionale conformemente alla Carta + +(22) Decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di +protezione civile (GU L 347 del 20.12.2013, pag. 924). +(23) Regolamento (UE) 2021/1149 del Parlamento europeo e del Consiglio, del 7 luglio 2021, che istituisce il Fondo Sicurezza interna +(GU L 251 del 15.7.2021, pag. 94). +(24) Regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio, del 28 aprile 2021, che istituisce il programma quadro di ricerca +e innovazione Orizzonte Europa e ne stabilisce le norme di partecipazione e diffusione, e che abroga i regolamenti (UE) n. 1290/2013 +e (UE) n. 1291/2013 (GU L 170 del 12.5.2021, pag. 1). + +L 333/174 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +dei diritti fondamentali dell’Unione europea. Nel valutare l’ottemperanza di un soggetto critico agli obblighi stabiliti +dalla presente direttiva, le autorità competenti ai sensi della presente direttiva dovrebbero poter chiedere alle +autorità competenti a norma della direttiva (UE) 2022/2555 di esercitare i propri poteri di vigilanza e di esecuzione +nei confronti di un soggetto di cui a tale direttiva individuato come soggetto critico a norma della presente direttiva. +Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/ +2555 dovrebbero cooperare e scambiarsi informazioni a tal fine. + +(41) + +Al fine di applicare la presente direttiva in modo efficace e coerente, è opportuno delegare alla Commissione il potere +di adottare atti conformemente all’articolo 290 TFUE per integrare la presente direttiva mediante l’elaborazione di un +elenco di servizi essenziali. Tale elenco dovrebbe essere utilizzato dalle autorità competenti per effettuare le +valutazioni del rischio dello Stato membro e individuare i soggetti critici ai sensi della presente direttiva. Alla luce +dell’approccio di armonizzazione minima della presente direttiva, tale elenco non è esaustivo e gli Stati membri +potrebbero integrarlo con ulteriori servizi essenziali a livello nazionale al fine di tenere conto delle specificità +nazionali nella fornitura di servizi essenziali. È di particolare importanza che durante i lavori preparatori la +Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo +interistituzionale «Legiferare meglio» del 13 aprile 2016 (25). In particolare, al fine di garantire la parità di +partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti +contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni +dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati. + +(42) + +È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di +esecuzione della presente direttiva. È altresì opportuno che tali competenze siano esercitate conformemente al +regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (26). + +(43) + +Poiché gli obiettivi della presente direttiva, vale a dire garantire che i servizi essenziali per il mantenimento di +funzioni vitali della società o di attività economiche siano forniti senza impedimenti nel mercato interno ed +aumentare la resilienza dei soggetti critici che forniscono tali servizi, non possono essere conseguiti in misura +sufficiente dagli Stati membri ma, a motivo degli effetti dell’azione, possono essere conseguiti meglio a livello di +Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato +sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in +ottemperanza al principio di proporzionalità enunciato nello stesso articolo. + +(44) + +Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del +Consiglio, (27) il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere +l’11 agosto 2021. + +(45) + +La direttiva 2008/114/CE dovrebbe pertanto essere abrogata, + +(25) GU L 123 del 12.5.2016, pag. 1. +(26) Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi +generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla +Commissione (GU L 55 del 28.2.2011, pag. 13). +(27) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in +relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera +circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, +pag. 39). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/175 + +HANNO ADOTTATO LA PRESENTE DIRETTIVA: + +CAPO I +DISPOSIZIONI GENERALI + +Articolo 1 +Oggetto e ambito di applicazione +1. + +La presente direttiva: + +a) stabilisce obblighi in capo agli Stati membri in merito all’adozione di misure specifiche volte a garantire che i servizi +essenziali per il mantenimento di funzioni vitali della società o di attività economiche nell’ambito di applicazione +dell’articolo 114 TFUE siano forniti senza impedimenti nel mercato interno, e in particolare obblighi di individuare i +soggetti critici e di sostenerli nell’adempimento degli obblighi loro imposti; +b) stabilisce per i soggetti critici obblighi volti a rafforzare la loro resilienza e la loro capacità di fornire servizi di cui alla +lettera a) nel mercato interno; +c) stabilisce norme: +i) + +riguardanti la vigilanza sui soggetti critici; + +ii) riguardanti l’esecuzione; +iii) per l’individuazione dei soggetti critici di particolare rilevanza a livello europeo e sulle missioni di consulenza per +valutare le misure predisposte da tali soggetti per adempiere ai propri obblighi ai sensi del capo III; +d) stabilisce procedure comuni di cooperazione e comunicazione sull’applicazione della presente direttiva; +e) stabilisce misure intese a raggiungere un livello di resilienza elevato dei soggetti critici al fine di garantire la fornitura di +servizi essenziali nell’Unione e migliorare il funzionamento del mercato interno. +2. +Fatto salvo l’articolo 8 della presente direttiva, la presente direttiva non si applica alle materie disciplinate dalla +direttiva (UE) 2022/2555 In considerazione della relazione tra la sicurezza fisica e la cibersicurezza dei soggetti critici, gli +Stati membri assicurano che la presente direttiva e la direttiva (UE) 2022/2555 siano attuate in modo coordinato. +3. +Qualora le disposizioni di atti giuridici settoriali dell’Unione richiedano ai soggetti critici di adottare misure per +rafforzare la propria resilienza e tali requisiti siano riconosciuti dagli Stati membri come almeno equivalenti ai +corrispondenti obblighi stabiliti dalla presente direttiva, non si applicano le pertinenti disposizioni della presente direttiva, +comprese le disposizioni in materia di vigilanza ed esecuzione di cui al capo VI. +4. +Fatto salvo l’articolo 346 TFUE, le informazioni riservate ai sensi della normativa dell’Unione o nazionale, quale +quella sulla riservatezza commerciale, sono scambiate con la Commissione e con altre autorità competenti in conformità +della presente direttiva solo nella misura in cui tale scambio sia necessario ai fini dell’applicazione della presente direttiva. +Le informazioni scambiate sono limitate alle informazioni pertinenti e commisurate a tale scopo. Lo scambio di +informazioni tutela la riservatezza di dette informazioni e la sicurezza e gli interessi commerciali dei soggetti critici, nel +rispetto della sicurezza degli Stati membri. +5. +La presente direttiva lascia impregiudicata la responsabilità degli Stati membri di tutelare la sicurezza nazionale e la +difesa e il loro potere di salvaguardare altre funzioni essenziali dello Stato, tra cui la garanzia dell’integrità territoriale dello +Stato e il mantenimento dell’ordine pubblico. +6. +La presente direttiva non si applica agli enti della pubblica amministrazione operanti nei settori della sicurezza +nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il +perseguimento di reati. + +L 333/176 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +7. +Gli Stati membri possono decidere che l’articolo 11 e i capi III, IV e VI, in tutto o in parte, non si applichino a specifici +soggetti critici operanti nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, +compresi l’indagine, l’accertamento e il perseguimento di reati, o che forniscono servizi esclusivamente agli enti della +pubblica amministrazione di cui al paragrafo 6 del presente articolo. + +8. +Gli obblighi definiti nella presente direttiva non comportano la comunicazione di informazioni la cui divulgazione +sarebbe contraria agli interessi essenziali degli Stati membri in materia di sicurezza nazionale, pubblica sicurezza o difesa. + +9. +La presente direttiva si applica fermo restando il diritto dell’Unione in materia di protezione dei dati personali, in +particolare le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (28) e della direttiva +2002/58/CE del Parlamento europeo e del Consiglio (29). + +Articolo 2 + +Definizioni + +Ai fini della presente direttiva si applicano le definizioni seguenti: +1) + +«soggetto critico»: un soggetto pubblico o privato che è stato individuato da uno Stato membro a ai sensi dell’articolo 6 +come appartenente a una delle categorie di cui alla terza colonna della tabella di cui all’allegato; + +2) + +«resilienza»: la capacità di un soggetto critico di prevenire, attenuare, assorbire un incidente, di proteggersi da esso, di +rispondervi, di resistervi, di adattarvisi e di ripristinare le proprie capacità operative; + +3) + +«incidente»: un evento che può perturbare in modo significativo, o che perturba, la fornitura di un servizio essenziale, +inclusi i casi in cui si ripercuote negativamente sui sistemi nazionali che salvaguardano lo Stato di diritto; + +4) + +«infrastruttura critica»: un elemento, un impianto, un’attrezzatura, una rete o un sistema o una parte di un elemento, di +un impianto, di un’attrezzatura, di una rete o di un sistema, necessari per la fornitura di un servizio essenziale; + +5) + +«servizio essenziale»: un servizio fondamentale per il mantenimento di funzioni vitali della società, di attività +economiche, della salute e della sicurezza pubbliche o dell’ambiente; + +6) + +«rischio»: la potenziale perdita o perturbazione causata da un incidente e deve essere espresso come combinazione +dell’entità di tale perdita o perturbazione e della probabilità che si verifichi l’incidente; + +7) + +«valutazione del rischio »: l’intero processo volto a determinare la natura e la portata di un rischio individuando e +analizzando potenziali minacce, vulnerabilità e pericoli pertinenti che potrebbero causare un incidente e valutando la +potenziale perdita o perturbazione della fornitura di un servizio essenziale causata da tale incidente; + +8) + +«norma»: una norma ai sensi dell’articolo 2, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e +del Consiglio (30); + +(28) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche +con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE +(regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1). +(29) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela +della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) +(GU L 201 del 31.7.2002, pag. 37). +(30) Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che +modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, +2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE +del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del 14.11.2012, pag. 12). + +27.12.2022 + +9) + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/177 + +«specifica tecnica»: una specifica tecnica ai sensi dell’articolo 2, punto 4, del regolamento (UE) n. 1025/2012; + +10) «ente della pubblica amministrazione»: un soggetto riconosciuto come tale in uno Stato membro conformemente al +diritto nazionale, esclusi il settore della giustizia, i parlamenti e le banche centrali, che soddisfa i criteri seguenti: +a) è istituito allo scopo di soddisfare esigenze di interesse generale e non ha carattere industriale o commerciale; +b) è dotato di personalità giuridica o è autorizzato per legge ad agire per conto di un altro soggetto dotato di +personalità giuridica; +c) è finanziato in modo maggioritario da autorità statali o da altri organismi di diritto pubblico a livello centrale; la +sua gestione è soggetta alla vigilanza di tali autorità o organismi, oppure è dotato di un organo di +amministrazione, di direzione o di vigilanza in cui più della metà dei membri è designata da autorità statali o da +altri organismi di diritto pubblico a livello centrale; +d) ha il potere di adottare, nei confronti di persone fisiche o giuridiche, decisioni amministrative o normative che +incidono sui loro diritti relativi alla circolazione transfrontaliera delle persone, delle merci, dei servizi o dei capitali. + +Articolo 3 +Armonizzazione minima +La presente direttiva non preclude agli Stati membri di adottare o mantenere in vigore disposizioni di diritto nazionale atte a +conseguire un livello di resilienza più elevato dei soggetti critici, a condizione che tali disposizioni siano coerenti con gli +obblighi degli Stati membri stabiliti dal diritto dell’Unione. + +CAPO II +QUADRI NAZIONALI PER LA RESILIENZA DEI SOGGETTI CRITICI + +Articolo 4 +Strategia per la resilienza dei soggetti critici +1. +A seguito di una consultazione aperta, per quanto praticamente possibile, ai pertinenti portatori di interessi, entro il +17 gennaio 2026 ogni Stato membro adotta una strategia per rafforzare la resilienza dei soggetti critici («strategia»). Sulla +base di pertinenti strategie a livello nazionale e settoriale, piani o documenti analoghi esistenti, la strategia definisce gli +obiettivi e le misure strategici per conseguire e mantenere un livello elevato di resilienza da parte dei soggetti critici e +contempla almeno i settori di cui all’allegato. +2. + +Ciascuna strategia contiene almeno gli elementi seguenti: + +a) obiettivi strategici e priorità per aumentare la resilienza complessiva dei soggetti critici tenendo conto delle dipendenze +e interdipendenze transfrontaliere e intersettoriali; +b) un quadro di governance per la realizzazione di tali obiettivi strategici e priorità, che comprenda una descrizione dei +ruoli e delle responsabilità delle diverse autorità, dei diversi soggetti critici e delle altre parti coinvolte nell’attuazione +della strategia; +c) una descrizione delle misure necessarie per aumentare la resilienza complessiva dei soggetti critici, che comprenda una +descrizione della valutazione del rischio di cui all’articolo 5; +d) una descrizione del processo di individuazione dei soggetti critici; + +L 333/178 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +e) una descrizione del processo volto a sostenere i soggetti critici in conformità del presente capo, comprese le misure per +rafforzare la cooperazione tra il settore pubblico, da un lato, e il settore privato e i soggetti pubblici e privati, dall’altro; +f) un elenco delle principali autorità e dei pertinenti portatori di interessi, diversi dai soggetti critici, coinvolti +nell’attuazione della strategia; +g) un quadro strategico per il coordinamento tra le autorità competenti ai sensi della presente direttiva («autorità +competenti») e le autorità competenti ai sensi della direttiva (UE) 2022/2555 ai fini della condivisione delle +informazioni sui rischi di cibersicurezza, sulle minacce e sugli incidenti informatici nonché sui rischi, sulle minacce e +sugli incidenti non informatici e ai fini dello svolgimento di compiti di vigilanza; +h) una descrizione delle misure già in vigore volte ad agevolare l’attuazione degli obblighi di cui al capo III della presente +direttiva da parte delle piccole e medie imprese ai sensi dell’allegato della raccomandazione 2003/361/CE della +Commissione (31), che gli Stati membri in questione hanno individuato come soggetti critici. +A seguito di una consultazione aperta, per quanto praticamente possibile, ai pertinenti portatori di interessi, gli Stati +membri aggiornano le loro strategie almeno ogni quattro anni. +3. +Gli Stati membri comunicano alla Commissione le loro strategie, e i relativi aggiornamenti sostanziali, entro tre mesi +dalla loro adozione. + +Articolo 5 +Valutazione del rischio da parte degli Stati membri +1. +Alla Commissione è conferito il potere di adottare un atto delegato conformemente all’articolo 23, entro il +17 novembre 2023, al fine di integrare la presente direttiva stabilendo un elenco non esaustivo dei servizi essenziali nei +settori e nei sottosettori di cui all’allegato. Le autorità competenti utilizzano tale elenco dei servizi essenziali per effettuare +una valutazione del rischio («valutazione del rischio dello Stato membro») entro il 17 gennaio 2026 e successivamente +ogniqualvolta necessario e almeno ogni quattro anni. Le autorità competenti utilizzano le valutazioni del rischio dello +Stato membro per individuare i soggetti critici ai sensi dell’articolo 6 e per aiutare tali soggetti critici ad adottare misure ai +sensi dell’articolo 13. +La valutazione del rischio dello Stato membro tiene conto dei rischi rilevanti, naturali e di origine umana, compresi quelli di +natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica, le minacce ibride +o altre minacce antagoniste, inclusi i reati di terrorismo di cui alla direttiva (UE) 2017/541 del Parlamento europeo e del +Consiglio (32). +2. +Nel procedere alla valutazione del rischio dello Stato membro, gli Stati membri prendono in considerazione almeno +gli elementi seguenti: +a) la valutazione generale del rischio effettuata ai sensi dell’articolo 6, paragrafo 1, della decisione n. 1313/2013/UE; +b) altre valutazioni del rischio rilevanti, svolte in conformità dei requisiti dei pertinenti atti giuridici settoriali dell’Unione, +inclusi i regolamenti (UE) 2017/1938 (33) e (UE) 2019/941 (34) del Parlamento europeo e del Consiglio e le direttive +2007/60/CE (35) e 2012/18/UE (36) del Parlamento europeo e del Consiglio; +(31) Raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie +imprese (GU L 124 del 20.5.2003, pag. 36). +(32) Direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce +la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU L 88 del 31.3.2017, +pag. 6). +(33) Regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, concernente misure volte a garantire la +sicurezza dell’approvvigionamento di gas e che abroga il regolamento (UE) n. 994/2010 (GU L 280 del 28.10.2017, pag. 1). +(34) Regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sulla preparazione ai rischi nel settore +dell’energia elettrica e che abroga la direttiva 2005/89/CE (GU L 158 del 14.6.2019, pag. 1). +(35) Direttiva 2007/60/CE del Parlamento europeo e del Consiglio, del 23 ottobre 2007, relativa alla valutazione e alla gestione dei rischi di +alluvioni (GU L 288 del 6.11.2007, pag. 27). +(36) Direttiva 2012/18/UE del Parlamento europeo e del Consiglio, del 4 luglio 2012, sul controllo del pericolo di incidenti rilevanti +connessi con sostanze pericolose, recante modifica e successiva abrogazione della direttiva 96/82/CE del Consiglio (GU L 197 +del 24.7.2012, pag. 1). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/179 + +c) i rischi pertinenti derivanti dalla misura in cui i settori di cui all’allegato dipendono l’uno dall’altro, e anche dalla misura +in cui essi dipendono da soggetti situati in altri Stati membri e paesi terzi, e l’impatto che una perturbazione significativa +in un settore può avere su altri settori, compresi gli eventuali rischi significativi per i cittadini e il mercato interno; +d) ogni informazione su incidenti notificati a norma dell’articolo 15. +Ai fini del primo comma, lettera c), gli Stati membri cooperano con le autorità competenti degli altri Stati membri e le +autorità competenti dei paesi terzi, a seconda dei casi. +3. +Gli Stati membri mettono a disposizione dei soggetti critici individuati ai sensi dell’articolo 6 gli elementi rilevanti +della valutazione del rischio dello Stato membro, se del caso mediante i propri punti di contatto unici. Gli Stati membri +garantiscono che le informazioni fornite ai soggetti critici li assistano nell’effettuare la propria valutazione del rischio ai +sensi dell’articolo 12 e ad adottare le misure per garantire la propria resilienza ai sensi dell’articolo 13. +4. +Entro tre mesi dall’effettuazione della valutazione del rischio dello Stato membro, lo Stato membro trasmette alla +Commissione le informazioni pertinenti sui tipi di rischi individuati e sui risultati delle valutazioni del rischio di tale Stato +membro, per settore e sottosettore di cui all’allegato. +5. +La Commissione, in cooperazione con gli Stati membri, sviluppa un modello comune volontario per la presentazione +delle relazioni in ottemperanza con il paragrafo 4. + +Articolo 6 + +Individuazione dei soggetti critici +1. + +Entro il 17 luglio 2026 ogni Stato membro individua i soggetti critici per i settori e i sottosettori di cui all’allegato. + +2. +Quando uno Stato membro individua i soggetti critici ai sensi del paragrafo 1, tiene conto dei risultati della propria +valutazione del rischio dello Stato membro e della propria strategia e applica tutti i criteri seguenti: +a) il soggetto fornisce uno o più servizi essenziali; +b) il soggetto opera, e la sua infrastruttura critica è situata, sul territorio di tale Stato membro; e +c) un incidente avrebbe effetti negativi rilevanti, determinati in conformità dell’articolo 7, paragrafo 1, sulla fornitura da +parte del soggetto di uno o più servizi essenziali, o sulla fornitura di altri servizi essenziali nei settori di cui all’allegato +che dipendono da tale o tali servizi essenziali. +3. +Ogni Stato membro redige un elenco dei soggetti critici individuati a norma del paragrafo 2 e provvede affinché a tali +soggetti critici sia notificato che sono stati individuati come tali entro un mese dall’individuazione stessa. Gli Stati membri +informano tali soggetti critici degli obblighi di cui ai capi III e IV e della data a decorrere dalla quale si applicano loro tali +obblighi, fatto salvo l’articolo 8. Gli Stati membri informano i soggetti critici dei settori di cui ai punti 3, 4 e 8 della tabella +di cui all’allegato che non hanno obblighi di cui ai capi III e IV, salvo misure nazionali diverse. +Il capo III si applica ai soggetti critici interessati 10 mesi dopo la data della notifica di cui al primo comma del presente +paragrafo. +4. +Gli Stati membri provvedono affinché le rispettive autorità competenti ai sensi della presente direttiva notifichino alle +autorità competenti di cui alla direttiva (UE) 2022/2555 l’identità dei soggetti critici individuati ai sensi del presente articolo +entro un mese dall’individuazione. Tale notifica specifica, ove applicabile, che i soggetti critici interessati sono soggetti dei +settori di cui ai punti 3, 4 e 8 della tabella di cui all’allegato della presente direttiva e non hanno obblighi di cui ai capi III +e IV della stessa. + +L 333/180 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +5. +Quando necessario e, in ogni caso, almeno ogni quattro anni, gli Stati membri riesaminano e, se del caso, aggiornano +l’elenco dei soggetti critici individuati di cui al paragrafo 3. Qualora tali aggiornamenti portino all’individuazione di soggetti +critici ulteriori, a questi ultimi si applicano i paragrafi 3 e 4. Gli Stati membri provvedono inoltre affinché i soggetti non più +individuati come critici a seguito di un aggiornamento ricevano notifica di tale fatto in tempo utile e del fatto che non +debbano più adempiere agli obblighi di cui al capo III a decorrere dalla data di ricevimento di tale notifica. + +6. +La Commissione, in cooperazione con gli Stati membri, elabora raccomandazioni e linee guida non vincolanti volti ad +aiutare gli Stati membri a individuare i soggetti critici. + +Articolo 7 + +Effetti negativi rilevanti + +1. +Nella determinazione della rilevanza degli effetti negativi di cui all’articolo 6, paragrafo 2, lettera c), gli Stati membri +tengono conto dei criteri seguenti: +a) il numero di utenti che dipendono dal servizio essenziale fornito dal soggetto interessato; +b) la misura in cui altri settori e sottosettori di cui all’allegato dipendono dal servizio essenziale in questione; +c) l’impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali, +sull’ambiente, sulla pubblica sicurezza, sull’incolumità pubblica o sulla salute della popolazione; +d) la quota di mercato del soggetto nel mercato del servizio essenziale o dei servizi essenziali interessati; +e) l’area geografica che potrebbe essere interessata da un incidente, compresi eventuali impatti transfrontalieri, tenendo +conto della vulnerabilità associata al grado di isolamento di alcuni tipi di aree geografiche, come quelle insulari, remote +o montane; +f) l’importanza del soggetto nel mantenimento di un livello sufficiente del servizio essenziale, tenendo conto della +disponibilità di strumenti alternativi per la fornitura di tale servizio essenziale. + +2. +A seguito dell’individuazione dei soggetti critici di cui all’articolo 6, paragrafo 1, ciascuno Stato membro comunica +senza indebito ritardo alla Commissione le informazioni seguenti: +a) un elenco dei servizi essenziali in tale Stato membro qualora vi siano servizi essenziali aggiuntivi rispetto all’elenco dei +servizi essenziali di cui all’articolo 5, paragrafo 1; +b) il numero di soggetti critici individuati per ciascun settore e sottosettore di cui all’allegato e per ciascun servizio +essenziale; +c) le soglie applicate per specificare uno o più criteri di cui al paragrafo 1. + +Le soglie di cui al primo comma, lettera c), possono essere presentate come tali o in forma aggregata. + +Gli Stati membri comunicano successivamente le informazioni di cui al primo comma quando necessario, e almeno ogni +quattro anni. + +3. +La Commissione, previa consultazione del gruppo per la resilienza dei soggetti critici di cui all’articolo 19, adotta +linee guida non vincolanti per agevolare l’applicazione dei criteri di cui al paragrafo 1 del presente articolo, tenendo conto +delle informazioni di cui al paragrafo 2 del presente articolo. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/181 + +Articolo 8 +Soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali +Gli Stati membri provvedono affinché l’articolo 11 e i capi III, IV e VI non si applichino ai soggetti critici che hanno +individuato nei settori di cui ai punti 3, 4 e 8 della tabella di cui all’allegato. Gli Stati membri possono adottare o +mantenere in vigore disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti +critici, a condizione che dette disposizioni siano coerenti con il diritto dell’Unione applicabile. + +Articolo 9 +Autorità competenti e punto di contatto unico +1. +Ogni Stato membro designa o istituisce una o più autorità competenti responsabili della corretta applicazione e, se +necessario, dell’esecuzione delle norme della presente direttiva a livello nazionale. +Per quanto riguarda i soggetti critici nei settori di cui ai punti 3 e 4 della tabella di cui all’allegato della presente direttiva, le +autorità competenti sono, in linea di principio, le autorità competenti di cui all’articolo 46 del regolamento (UE) 2022/ +2554 Per quanto riguarda i soggetti critici nel settore di cui al punto 8 della tabella di cui all’allegato della presente +direttiva, le autorità competenti sono, in linea di principio, le autorità competenti di cui alla direttiva (UE) 2022/2555 Gli +Stati membri possono designare una diversa autorità competente per i settori di cui ai punti 3, 4 e 8 della tabella figurante +nell’allegato della presente direttiva in conformità dei quadri nazionali esistenti. +Qualora designino o istituiscano più di un’autorità competente, gli Stati membri definiscono chiaramente i compiti di +ciascuna delle autorità interessate e provvedono affinché esse cooperino efficacemente per svolgerli a norma della presente +direttiva, anche per quanto riguarda la designazione e le attività del punto di contatto unico di cui al paragrafo 2. +2. +Ciascuno Stato membro designa o istituisce un punto di contatto unico, che svolga una funzione di collegamento allo +scopo di garantire la cooperazione transfrontaliera con i punti di contatto unici di altri Stati membri e con il gruppo per la +resilienza dei soggetti critici di cui all’articolo 19 («punto di contatto unico»). Se del caso, uno Stato membro designa il suo +punto di contatto unico all’interno di una autorità competente. Se del caso, uno Stato membro può provvedere affinché il +suo punto di contatto unico svolga anche una funzione di collegamento con la Commissione e garantisca la cooperazione +con i paesi terzi. +3. +Entro il 17 luglio 2028, e successivamente ogni due anni, i punti di contatto unici trasmettono alla Commissione e al +gruppo per la resilienza dei soggetti critici di cui all’articolo 19 una relazione di sintesi in merito alle notifiche ricevute, +compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese a norma dell’articolo 15, +paragrafo 3. +La Commissione, in cooperazione con il gruppo per la resilienza dei soggetti critici, sviluppa un modello comune per la +presentazione delle relazioni. Le autorità competenti possono utilizzare, su base volontaria, tale modello comune per la +presentazione delle relazioni ai fini della presentazione delle relazioni di sintesi di cui al primo comma. +4. +Ciascuno Stato membro provvede affinché la propria autorità competente e il punto di contatto unico dispongano dei +poteri e delle risorse finanziarie, umane e tecniche adeguate a svolgere in modo efficace ed efficiente i compiti che sono loro +assegnati. +5. +Ciascuno Stato membro provvede affinché la propria autorità competente, ove opportuno e conformemente al diritto +dell’Unione e al diritto nazionale, si consulti e cooperi con le altre autorità nazionali competenti, comprese quelle +responsabili della protezione civile, delle attività di contrasto e della protezione dei dati personali, e con i soggetti critici e +le parti interessate pertinenti. +6. +Ciascuno Stato membro provvede affinché la propria autorità competente ai sensi della presente direttiva cooperi e +scambi informazioni con le autorità competenti di cui alla direttiva (UE) 2022/2555 sui rischi di cibersicurezza, sulle +minacce e sugli incidenti informatici e sui rischi, sulle minacce e sugli incidenti non informatici che hanno ripercussioni sui +soggetti critici, anche per quanto riguarda le pertinenti misure adottate dalla rispettiva autorità competente e dalle autorità +competenti di cui alla direttiva (UE) 2022/2555 + +L 333/182 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +7. +Entro tre mesi dalla designazione o istituzione dell’autorità competente e del punto di contatto unico, ogni Stato +membro notifica alla Commissione la loro identità e i loro compiti e responsabilità ai sensi della presente direttiva e i loro +dati di contatto, e qualsiasi ulteriore modifica dei medesimi. Gli Stati membri informano la Commissione qualora decidano +di nominare autorità diverse dalle autorità competenti di cui al paragrafo 1, secondo comma, quali autorità competenti in +relazione ai soggetti critici nei settori di cui ai punti 3, 4 e 8 della tabella di cui all’allegato. Ogni Stato membro rende +pubblica l’identità della rispettiva autorità competente e del punto di contatto unico. +8. + +La Commissione rende disponibile al pubblico un elenco dei punti di contatto unici. + +Articolo 10 +Sostegno degli Stati membri ai soggetti critici +1. +Gli Stati membri sostengono i soggetti critici nel rafforzamento della loro resilienza. Tale sostegno può comportare +l’elaborazione di materiali e metodologie di orientamento, aiuto nell’organizzazione di esercitazioni per testare la propria +resilienza nonché la prestazione di consulenza e di corsi di formazione per il personale dei soggetti critici. Fatte salve le +norme applicabili in materia di aiuti di Stato, gli Stati membri possono fornire risorse finanziarie ai soggetti critici, ove ciò +sia necessario e giustificato da obiettivi di interesse pubblico. +2. +Ogni Stato membro provvede affinché la rispettiva autorità competente cooperi e scambi informazioni e buone prassi +con i soggetti critici dei settori di cui all’allegato. +3. +Gli Stati membri agevolano la condivisione volontaria di informazioni fra i soggetti critici in relazione alle materie +disciplinate dalla presente direttiva, conformemente al diritto dell’Unione e al diritto nazionale, riguardo, in particolare, alle +informazioni classificate e sensibili, alla concorrenza e alla protezione dei dati personali. + +Articolo 11 +Cooperazione tra Stati membri +1. +Ogniqualvolta ciò sia opportuno, gli Stati membri si consultano reciprocamente in merito ai soggetti critici al fine di +un’applicazione coerente della presente direttiva. Tali consultazioni si svolgono, in particolare, per i soggetti critici che: +a) utilizzano infrastrutture critiche fisicamente collegate tra due o più Stati membri; +b) fanno parte di strutture societarie collegate o associate a soggetti critici in altri Stati membri; +c) sono stati individuati come soggetti critici in uno Stato membro e forniscono servizi essenziali ad altri Stati membri o in +altri Stati membri. +2. +Le consultazioni di cui al paragrafo 1 sono intese a rafforzare la resilienza dei soggetti critici e, ove possibile, a ridurre +gli oneri amministrativi a loro carico. + +CAPO III +RESILIENZA DEI SOGGETTI CRITICI + +Articolo 12 +Valutazione del rischio da parte dei soggetti critici +1. +Fatto salvo il termine di cui all’articolo 6, paragrafo 3, secondo comma, gli Stati membri provvedono affinché i +soggetti critici effettuino una valutazione del rischio, entro nove mesi dal ricevimento della notifica di cui all’articolo 6, +paragrafo 3, e successivamente quando necessario e almeno ogni quattro anni, valutino, basandosi sulle valutazioni del +rischio degli Stati membri e su altre fonti di informazioni pertinenti, al fine di valutare tutti i rischi rilevanti che potrebbero +perturbare la fornitura dei loro servizi essenziali («valutazione del rischio dei soggetti critici»). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/183 + +2. +Le valutazioni del rischio dei soggetti critici tengono conto di tutti i rischi rilevanti naturali e di origine umana che +potrebbero causare un incidente, compresi quelli di natura intersettoriale o transfrontaliera, gli incidenti, le catastrofi +naturali, le emergenze di sanità pubblica, le minacce ibride e altre minacce antagoniste, inclusi i reati di terrorismo di cui +alla direttiva (UE) 2017/541. La valutazione del rischio dei soggetti critici tiene conto della misura in cui altri settori di cui +all’allegato dipendono dal servizio essenziale fornito dal soggetto critico e della misura in cui tale soggetto critico dipende +dai servizi essenziali forniti da altri soggetti in taluni altri settori, se del caso, anche negli Stati membri e nei paesi terzi vicini. +Qualora un soggetto critico abbia effettuato altre valutazioni del rischio o redatto documenti conformemente agli obblighi +previsti da altri atti giuridici pertinenti per la propria valutazione del rischio dei soggetti critici, può utilizzare tali +valutazioni e documenti per soddisfare i requisiti stabiliti al presente articolo. Nell’esercizio delle sue funzioni di vigilanza, +l’autorità competente può decidere di dichiarare conforme, in tutto o in parte, ai requisiti del presente articolo una +valutazione del rischio esistente di un soggetto critico che affronta i rischi e il grado di dipendenza di cui al primo comma +del presente paragrafo. + +Articolo 13 + +Misure di resilienza dei soggetti critici +1. +Gli Stati membri provvedono affinché i soggetti critici adottino misure tecniche, di sicurezza e organizzative adeguate +e proporzionate per garantire la propria resilienza, in base alle informazioni pertinenti fornite dagli Stati membri in merito +alla valutazione del rischio dello Stato membro e in base ai risultati della valutazione del rischio del soggetto critico, incluse +misure necessarie per: +a) evitare il verificarsi di incidenti, prendendo debitamente in considerazione le misure di riduzione del rischio di catastrofi +e di adattamento ai cambiamenti climatici; +b) assicurare un’adeguata protezione fisica dei propri siti e delle infrastrutture critiche prendendo debitamente in +considerazione, ad esempio, recinzioni, barriere, strumenti e routine di controllo del perimetro, impianti di +rilevamento e controllo degli accessi; +c) contrastare e resistere alle conseguenze degli incidenti e mitigarle, prendendo debitamente in considerazione procedure +e protocolli di gestione dei rischi e delle crisi e pratiche di allerta; +d) ripristinare le proprie capacità operative in caso di incidenti, prendendo debitamente in considerazione misure di +continuità operativa e l’individuazione di catene di approvvigionamento alternative al fine di ripristinare la fornitura +del servizio essenziale; +e) assicurare un’adeguata gestione della sicurezza del personale, prendendo debitamente in considerazione misure quali la +definizione di categorie di personale che svolgono funzioni critiche, l’introduzione di autorizzazioni di accesso ai siti e +alle infrastrutture critiche così come alle informazioni sensibili, istituendo procedure per i controlli dei precedenti +personali in conformità dell’articolo 14 e designando le categorie di persone tenute a sottoporsi a tali controlli dei +precedenti personali, e definendo adeguati requisiti di formazione e qualifiche; +f) sensibilizzare il personale interessato in merito alle misure di cui alle lettere da a) ad e), prendendo debitamente in +considerazione corsi di formazione, materiale informativo ed esercitazioni. +Ai fini del primo comma, lettera e), gli Stati membri provvedono affinché i soggetti critici tengano conto del personale dei +fornitori esterni di servizi nel definire le categorie di personale che svolgono funzioni critiche. +2. +Gli Stati membri provvedono affinché i soggetti critici predispongano e applichino un piano di resilienza o un +documento o documenti equivalenti, in cui siano descritte le misure di cui al paragrafo 1. Qualora i soggetti critici abbiano +redatto documenti o adottato misure conformemente agli obblighi previsti da altri atti giuridici pertinenti per le misure +stabilite al paragrafo 1, essi possono utilizzare tali documenti e misure per soddisfare i requisiti stabiliti dal presente +articolo. Nell’esercizio delle sue funzioni di vigilanza, l’autorità competente può dichiarare conformi, in tutto o in parte, +agli obblighi di cui a presente articolo le misure esistenti di rafforzamento della resilienza di un soggetto critico che +affrontano in modo adeguato e proporzionato le misure tecniche, di sicurezza e organizzative di cui al paragrafo 1. + +L 333/184 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +3. +Gli Stati membri provvedono affinché ciascun soggetto critico designi un funzionario di collegamento o equivalente +come punto di contatto con le autorità competenti. +4. +Su richiesta dello Stato membro che ha individuato il soggetto critico, e con l’accordo del soggetto critico interessato, +la Commissione organizza missioni di consulenza, conformemente alle disposizioni di cui all’articolo 18, paragrafi 6, 8 e 9, +per consigliare il soggetto critico riguardo all’adempimento degli obblighi di cui al capo III. La missione di consulenza +riferisce i suoi risultati alla Commissione, a tale Stato membro e al soggetto critico interessato. +5. +La Commissione, previa consultazione del gruppo per la resilienza dei soggetti critici di cui all’articolo 19, adotta +linee guida non vincolanti per specificare ulteriormente le misure tecniche, di sicurezza e organizzative che possono essere +adottate a norma del paragrafo 1 del presente articolo. +6. +La Commissione adotta atti di esecuzione per definire le necessarie specifiche tecniche e metodologiche relative +all’applicazione delle misure di cui al paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la +procedura d’esame di cui all’articolo 24, paragrafo 2. + +Articolo 14 +Controlli dei precedenti personali +1. +Gli Stati membri precisano le condizioni in base alle quali il soggetto critico è autorizzato, in casi debitamente +motivati e tenendo conto della valutazione del rischio dello Stato membro, a presentare richieste di controlli dei precedenti +personali per le persone che: +a) rivestono ruoli sensibili all’interno del soggetto critico o a vantaggio di quest’ultimo, segnatamente in relazione alla +resilienza del soggetto critico; +b) sono autorizzate ad accedere — direttamente o a distanza — ai suoi siti e ai suoi sistemi informatici o di controllo, +anche in relazione alla sicurezza del soggetto critico; +c) sono presi in considerazione per l’assunzione in ruoli che rientrano nei criteri di cui alle lettere a) o b). +2. +Le richieste di cui al paragrafo 1 del presente articolo sono valutate entro un lasso di tempo ragionevole e trattate +conformemente al diritto e alle procedure nazionali, e al diritto dell’Unione pertinente e applicabile, compresi il +regolamento (UE) 2016/679 e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (37). I controlli dei +precedenti personali sono proporzionati e strettamente limitati a quanto necessario e sono effettuati al solo scopo di +valutare un potenziale rischio per la sicurezza del soggetto critico interessato. +3. + +Il controllo dei precedenti personali di cui al paragrafo 1, come minimo: + +a) conferma l’identità della persona che è soggetta al controllo dei precedenti personali; +b) verifica i precedenti penali di tale persona per quanto riguarda reati rilevanti ai fini di uno specifico ruolo. +Nell’effettuare i controlli dei precedenti personali, gli Stati membri, si avvalgono del sistema europeo di informazione sui +casellari giudiziali conformemente alle procedure stabilite nella decisione quadro 2009/315/GAI e, ove pertinente e +applicabile, nel regolamento (UE) 2019/816 per ottenere le informazioni sui precedenti penali in possesso di altri Stati +membri. Le autorità centrali di cui all’articolo 3, paragrafo 1, della decisione quadro 2009/315/GAI e all’articolo 3, punto +5), del regolamento (UE) 2019/816 forniscono risposte alle richieste di informazioni in questione entro 10 giorni +lavorativi dalla data di ricevimento della richiesta, conformemente all’articolo 8, paragrafo 1, della decisione quadro +2009/315/GAI. +(37) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con +riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e +perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione +quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89). + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/185 + +Articolo 15 + +Notifica degli incidenti + +1. +Gli Stati membri provvedono affinché i soggetti critici notifichino senza indebito ritardo all’autorità competente gli +incidenti che perturbano o possono perturbare in modo significativo in modo significativo la fornitura di servizi essenziali. +Gli Stati membri provvedono affinché, a meno che non siano operativamente impossibilitati a farlo, i soggetti critici +effettuino una notifica iniziale entro 24 ore dal momento in cui vengono a conoscenza di un incidente, seguita, ove +opportuno, da una relazione finale dettagliata al più tardi dopo un mese. Per determinare la rilevanza della perturbazione +si tiene conto in particolare dei parametri seguenti: +a) numero e percentuale di utenti interessati dalla perturbazione; +b) durata della perturbazione; +c) area geografica interessata dalla perturbazione, tenendo conto dell’eventuale isolamento geografico di tale area. + +Qualora un incidente abbia o possa avere un impatto significativo sulla continuità della fornitura dei servizi essenziali a o in +sei o più Stati membri, le autorità competenti degli Stati membri interessati dall’incidente notificano tale incidente alla +Commissione. + +2. +Le notifiche di cui al paragrafo 1, primo comma, includono tutte le informazioni disponibili necessarie per consentire +all’autorità competente di comprendere la natura, la causa e le possibili conseguenze dell’incidente, comprese tutte le +informazioni disponibili necessarie alla determinazione di un suo eventuale impatto transfrontaliero. Tali notifiche non +espongono i soggetti critici a una maggiore responsabilità. + +3. +Sulla base delle informazioni fornite da un soggetto critico in una notifica di cui al paragrafo 1, l’autorità competente, +tramite il punto di contatto unico, informa il punto di contatto unico degli altri Stati membri interessati nel caso in cui +l’incidente abbia, o possa avere, un impatto significativo sui soggetti critici e sulla continuità dei servizi essenziali a o in +uno o più altri Stati membri. + +I punti di contatto unici che trasmettono e ricevono informazioni a norma del primo comma, trattano, conformemente al +diritto dell’Unione o al diritto nazionale, tali informazioni rispettandone la riservatezza e tutelando la sicurezza e gli +interessi commerciali del soggetto critico interessato. + +4. +Il più rapidamente possibile a seguito di una notifica di cui al paragrafo 1, l’autorità competente interessata fornisce al +soggetto critico interessato informazioni rilevanti sul seguito dato, comprese informazioni che possano supportare +un’efficace risposta di tale soggetto critico all’incidente in questione. Gli Stati membri informano il pubblico qualora +ritengano che sia nell’interesse pubblico farlo. + +Articolo 16 + +Norme + +Per promuovere l’attuazione convergente della presente direttiva, gli Stati membri, laddove opportuno e senza imposizioni +o discriminazioni a favore dell’uso di un particolare tipo di tecnologia, incoraggiano l’uso di norme e specifiche tecniche +europee e internazionali riguardanti le misure sulla sicurezza e le misure sulla resilienza applicabili ai soggetti critici. + +L 333/186 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +CAPO IV +SOGGETTI CRITICI DI PARTICOLARE RILEVANZA EUROPEA + +Articolo 17 +Individuazione dei soggetti critici di particolare rilevanza europea +1. + +Un soggetto è considerato soggetto critico di particolare rilevanza europea se: + +a) è stato individuato come soggetto critico ai sensi dell’articolo 6, paragrafo 1; +b) fornisce servizi essenziali identici o analoghi a o in sei o più Stati membri; e +c) è stato notificato ai sensi del paragrafo 3. +2. +Gli Stati membri provvedono affinché un soggetto critico, a seguito della notifica di cui all’articolo 6, paragrafo 3, +comunichi alla rispettiva autorità competente se fornisce servizi essenziali a o in sei o più Stati membri. In tal caso, gli Stati +membri provvedono affinché il soggetto critico comunichi alla rispettiva autorità competente quali servizi essenziali +fornisce a o in tali Stati membri e a quali o in quali Stati membri fornisce tali servizi essenziali. Lo Stato membro notifica +alla Commissione, senza indebito ritardo, l’identità di tali soggetti critici e le informazioni che essi forniscono ai sensi del +presente paragrafo. +La Commissione si consulta con l’autorità competente dello Stato membro che ha individuato un soggetto critico di cui al +primo comma, l’autorità competente di altri Stati membri interessati e il soggetto critico in questione. Nel corso di tali +consultazioni ciascuno Stato membro comunica alla Commissione se ritiene che i servizi forniti a tale Stato membro dal +soggetto critico siano servizi essenziali. +3. +Se stabilisce, sulla base delle consultazioni di cui al paragrafo 2 del presente articolo, che il soggetto critico interessato +fornisce servizi essenziali a o in sei o più Stati membri, la Commissione comunica a tale soggetto critico, tramite la relativa +autorità competente, la sua individuazione come soggetto critico di particolare rilevanza europea e informa tale soggetto +critico degli obblighi ai quali è assoggettato ai sensi del presente capo e della data a decorrere dalla quale si applicano tali +obblighi. Una volta che la Commissione ha informato l’autorità competente della sua decisione di considerare un soggetto +critico come un soggetto critico di particolare rilevanza europea, l’autorità competente trasmette tale notifica senza +indebito ritardo a tale soggetto critico. +4. +Il presente capo si applica al soggetto critico di particolare rilevanza europea interessato a decorrere dalla data di +ricevimento della notifica di cui al paragrafo 3 del presente articolo. + +Articolo 18 +Missioni di consulenza +1. +Su richiesta dello Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come +soggetto critico ai sensi dell’articolo 6, paragrafo 1, la Commissione organizza una missione di consulenza per valutare le +misure predisposte da tale soggetto critico per adempiere ai propri obblighi di cui al capo III. +2. +Di propria iniziativa o su richiesta di uno o più Stati membri a cui o in cui è fornito il servizio essenziale, e a +condizione che lo Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto +critico ai sensi dell’articolo 6, paragrafo 1, sia d’accordo, la Commissione organizza una missione di consulenza di cui al +paragrafo 1 del presente articolo. +3. +Su richiesta motivata della Commissione o di uno o più Stati membri a cui o in cui è fornito il servizio essenziale, lo +Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi +dell’articolo 6, paragrafo 1 fornisce alla Commissione: +a) le parti pertinenti della valutazione del rischio del soggetto critico; +b) un elenco delle pertinenti misure adottate ai sensi dell’articolo 13; + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/187 + +c) le azioni di vigilanza o di esecuzione, comprese le valutazioni di conformità o i provvedimenti emessi, che la relativa +autorità competente ha intrapreso nei confronti di tale soggetto critico ai sensi degli articoli 21 e 22. + +4. +Entro tre mesi dalla sua conclusione, la missione di consulenza riferisce i suoi risultati alla Commissione, allo Stato +membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi +dell’articolo 6, paragrafo 1, allo Stato membro a cui o in cui è fornito il servizio essenziale e al soggetto critico interessato. + +Gli Stati membri a cui o in cui è fornito il servizio essenziale analizzano la relazione di cui al primo comma e, qualora +necessario, danno indicazioni alla Commissione sull’adempimento o meno degli obblighi di cui al capo III da parte del +soggetto critico di particolare rilevanza europea interessato e, se del caso, su quali misure potrebbero essere adottate per +migliorare la resilienza di tale soggetto critico. + +Sulla base dell’indicazione di cui al secondo comma del presente paragrafo, la Commissione comunica allo Stato membro +che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi dell’articolo 6, +paragrafo 1, agli Stati membri a cui o in cui è fornito il servizio essenziale e a tale soggetto critico il suo parere +sull’adempimento o meno degli obblighi di cui al capo III da parte di tale soggetto critico e, se del caso, quali misure +potrebbero essere adottate per migliorare la sua resilienza. + +Lo Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi +dell’articolo 6, paragrafo 1 provvede affinché la sua autorità competente e il soggetto critico interessato tengano conto del +parere di cui al terzo comma del presente paragrafo e fornisce alla Commissione e agli Stati membri a cui o in cui è fornito +il servizio essenziale informazioni sulle misure adottate a seguito di tale parere. + +5. +Ogni missione di consulenza è composta da esperti dello Stato membro in cui è situato il soggetto critico di +particolare rilevanza europea, da esperti degli Stati membri a cui o in cui è fornito il servizio essenziale, e da rappresentanti +della Commissione. Tali Stati membri possono proporre i loro candidati. La Commissione, previa consultazione dello Stato +membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico ai sensi +dell’articolo 6, paragrafo 1, seleziona e nomina i membri di ciascuna missione di consulenza in base alla loro capacità +professionale e garantendo, ove possibile, una rappresentanza equilibrata sotto il profilo geografico di tutti gli Stati +membri interessati. Ogniqualvolta necessario, i membri della missione di consulenza devono essere in possesso di un +valido e appropriato nulla osta di sicurezza. La Commissione sostiene i costi relativi alla partecipazione alle missioni di +consulenza. + +La Commissione organizza il programma di ciascuna missione di consulenza consultandosi con i membri della missione di +consulenza in questione e d’accordo con lo Stato membro che ha individuato un soggetto critico di particolare rilevanza +europea come soggetto critico ai sensi dell’articolo 6, paragrafo 1. + +6. +La Commissione adotta un atto di esecuzione che stabilisce le norme relative alle modalità procedurali per la +presentazione di richieste per l’organizzazione di missioni di consulenza, per il trattamento di tali richieste, per lo +svolgimento delle missioni di consulenza e per le attinenti relazioni e per il trattamento della comunicazione del parere +della Commissione di cui al paragrafo 4, terzo comma del presente articolo e delle misure adottate, tenendo in debito +conto la riservatezza e la sensibilità aziendale delle informazioni interessate. Tale atto di esecuzione è adottato secondo la +procedura d’esame di cui all’articolo 24, paragrafo 2. + +7. +Gli Stati membri provvedono affinché i soggetti critici di particolare rilevanza europea forniscano alle missioni di +consulenza accesso alle informazioni e ai sistemi e impianti relativi alla fornitura dei loro servizi essenziali che sono +necessari per lo svolgimento della missione di consulenza interessata. + +8. +Le missioni di consulenza sono svolte conformemente al diritto nazionale applicabile dello Stato membro in cui +hanno luogo, nel rispetto della responsabilità di tale Stato membro in materia di sicurezza nazionale e della tutela dei +propri interessi di sicurezza. + +L 333/188 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +9. +Nell’organizzare le missioni di consulenza la Commissione tiene conto delle relazioni sulle ispezioni da essa effettuate +ai sensi dei regolamenti (CE) n. 725/2004 e (CE) n. 300/2008 e delle relazioni sui controlli da essa svolti ai sensi della +direttiva 2005/65/CE in merito al soggetto critico interessato. +10. +La Commissione informa il gruppo per la resilienza dei soggetti critici di cui all’articolo 19 ogniqualvolta è +organizzata una missione di consulenza. Lo Stato membro in cui si è svolta la missione di consulenza e la Commissione +informano inoltre il gruppo per la resilienza dei soggetti critici in merito ai principali risultati della missione di consulenza +e alle lezioni apprese al fine di promuovere l’apprendimento reciproco. + +CAPO V +COOPERAZIONE E COMUNICAZIONE + +Articolo 19 +Gruppo per la resilienza dei soggetti critici +1. +È istituito il gruppo per la resilienza dei soggetti critici. Il gruppo per la resilienza dei soggetti critici sostiene la +Commissione e agevola la cooperazione tra gli Stati membri e lo scambio di informazioni su questioni attinenti alla +presente direttiva. +2. +Il gruppo per la resilienza dei soggetti critici è composto da rappresentanti degli Stati membri e della Commissione in +possesso, se del caso, di un nulla osta di sicurezza. Qualora ciò sia rilevante per lo svolgimento dei suoi compiti, esso può +invitare i portatori di interessi a partecipare ai suoi lavori. Su richiesta del Parlamento europeo, la Commissione può +invitare esperti del Parlamento europeo a partecipare alle riunioni del gruppo per la resilienza dei soggetti critici. +Il rappresentante della Commissione presiede il gruppo per la resilienza dei soggetti critici. +3. + +Il gruppo per la resilienza dei soggetti critici ha i compiti seguenti: + +a) assistere la Commissione nel fornire aiuto agli Stati membri per il rafforzamento della loro capacità di contribuire a +garantire la resilienza dei soggetti critici ai sensi della presente direttiva; +b) analizzare le strategie al fine di individuare le migliori prassi in relazione alle stesse; +c) facilitare lo scambio di migliori prassi per quanto riguarda l’individuazione dei soggetti critici da parte degli Stati +membri ai sensi dell’articolo 6, paragrafo 1, anche in relazione alle dipendenze transfrontaliere e intersettoriali e per +quanto riguarda i rischi e gli incidenti; +d) se del caso, contribuire, per questioni relative alla presente direttiva, ai documenti sulla resilienza a livello dell’Unione; +e) contribuire alla preparazione delle linee guida di cui all’articolo 7, paragrafo 3, e all’articolo 13, paragrafo 5, e, su +richiesta, di ogni atto delegato o di esecuzione adottato ai sensi della presente direttiva; +f) analizzare le relazioni di sintesi di cui all’articolo 9, paragrafo 3, al fine di promuovere la condivisione delle migliori +prassi sulle azioni intraprese ai sensi dell’articolo 15, paragrafo 3; +g) condividere migliori prassi in relazione alla notifica di incidenti di cui all’articolo 15; +h) discutere le relazioni di sintesi sulle missioni di consulenza e le lezioni apprese ai sensi dell’articolo 18, paragrafo 10; +i) scambiare informazioni e migliori prassi in materia di innovazione, ricerca e sviluppo in relazione alla resilienza dei +soggetti critici ai sensi della presente direttiva; +j) se del caso, scambiare informazioni su questioni relative alla resilienza dei soggetti critici con le istituzioni, gli +organismi, gli uffici e le agenzie pertinenti dell’Unione. +4. +Entro il 17 gennaio 2025 e in seguito ogni due anni, il gruppo per la resilienza dei soggetti critici stabilisce un +programma di lavoro sulle azioni da intraprendere per realizzare i propri obiettivi e compiti. Tale programma di lavoro è +coerente con le prescrizioni e gli obiettivi della presente direttiva. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/189 + +5. +Il gruppo per la resilienza dei soggetti critici si riunisce periodicamente, e in ogni caso almeno una volta all’anno, con +il gruppo di cooperazione istituito a norma della direttiva (UE) 2022/2555 al fine di promuovere e agevolare la +cooperazione strategica e lo scambio di informazioni. +6. +La Commissione può adottare atti di esecuzione che stabiliscono le modalità procedurali necessarie per il +funzionamento del gruppo per la resilienza dei soggetti critici, conformemente all’articolo 1, paragrafo 4. Tali atti di +esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 24, paragrafo 2. +7. +Entro il 17 gennaio 2027, e successivamente quando necessario e almeno ogni quattro anni, la Commissione +trasmette al gruppo per la resilienza dei soggetti critici una relazione di sintesi sulle informazioni fornite dagli Stati membri +ai sensi dell’articolo 4, paragrafo 3, e dell’articolo 5, paragrafo 4. + +Articolo 20 +Sostegno della Commissione alle autorità competenti e ai soggetti critici +1. +La Commissione sostiene, se del caso, gli Stati membri e i soggetti critici nell’adempimento dei loro obblighi ai sensi +della presente direttiva. Essa prepara una rassegna, a livello dell’Unione, dei rischi transfrontalieri e intersettoriali per la +fornitura dei servizi essenziali, organizza le missioni di consulenza di cui all’articolo 13, paragrafo 4, e all’articolo 18 e +agevola lo scambio di informazioni fra gli Stati membri ed esperti in tutta l’Unione. +2. +La Commissione integra le attività degli Stati membri di cui all’articolo 10 sviluppando migliori prassi, materiali e +metodologie di orientamento, così come attività di formazione ed esercitazioni transfrontaliere per testare la resilienza dei +soggetti critici. +3. +La Commissione informa gli Stati membri in merito alle risorse finanziarie a disposizione degli Stati membri a livello +di Unione per rafforzare la resilienza dei soggetti critici. + +CAPO VI +VIGILANZA ED ESECUZIONE + +Articolo 21 +Vigilanza ed esecuzione +1. +Per valutare l’adempimento degli obblighi stabiliti dalla presente direttiva da parte dei soggetti individuati come +soggetti critici ai sensi dell’articolo 6, paragrafo 1 dagli Stati membri, gli Stati membri provvedono affinché le autorità +competenti siano dotate dei poteri e dei mezzi per: +a) effettuare ispezioni in loco dell’infrastruttura critica e dei siti utilizzati dal soggetto critico per fornire i suoi servizi +essenziali, e vigilare da remoto sulle misure adottate dai soggetti critici conformemente all’articolo 13; +b) svolgere o disporre controlli nei confronti dei soggetti critici. +2. +Gli Stati membri provvedono affinché le autorità competenti abbiano i poteri e i mezzi per richiedere, qualora +necessario per lo svolgimento dei loro compiti ai sensi della presente direttiva, che i soggetti di cui alla direttiva (UE) 2022/ +2555 che sono stati individuati come soggetti critici ai sensi della presente direttiva forniscano, entro un ragionevole +periodo di tempo stabilito da dette autorità: +a) le informazioni necessarie per valutare se le misure adottate da tali soggetti per garantire la loro resilienza soddisfino i +requisiti stabiliti all’articolo 13; +b) la prova dell’effettiva attuazione di tali misure, inclusi i risultati di un controllo svolto da un revisore indipendente e +qualificato, selezionato da tale soggetto, ed effettuato a spese di questo. +Quando richiede tali informazioni l’autorità competente indica lo scopo della richiesta specificando il tipo di informazioni +da fornire. + +L 333/190 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +3. +Fatta salva la possibilità di irrogare sanzioni ai sensi dell’articolo 22, le autorità competenti possono esigere, a seguito +delle azioni di vigilanza di cui al paragrafo 1 del presente articolo o della valutazione delle informazioni di cui al paragrafo 2 +del presente articolo, che i soggetti critici interessati adottino entro un ragionevole periodo di tempo da esse stabilito le +misure necessarie e proporzionate per porre rimedio a qualsiasi violazione individuata della presente direttiva e forniscano +loro informazioni sulle misure adottate. Tali provvedimenti tengono conto, in particolare, della gravità della violazione. +4. +Gli Stati membri provvedono affinché i poteri di cui ai paragrafi 1, 2 e 3 possano essere esercitati solo fatte salve le +opportune garanzie. Deve essere garantito, in particolare, che tali poteri siano esercitati in modo obiettivo, trasparente e +proporzionato e che siano debitamente tutelati i diritti e gli interessi legittimi, quali la protezione dei segreti commerciali e +aziendali, dei soggetti critici interessati, inclusi il diritto al contraddittorio, i diritti della difesa e il diritto a un ricorso +effettivo dinanzi a un giudice indipendente. +5. +Gli Stati membri provvedono affinché, quando un’autorità competente ai sensi della presente direttiva valuta il +rispetto degli obblighi da parte di un soggetto critico ai sensi del presente articolo, tale autorità competente informi le +autorità competenti degli Stati membri interessati ai sensi della direttiva (UE) 2022/2555 A tale fine, gli Stati membri +provvedono affinché le autorità competenti ai sensi della presente direttiva possano chiedere alle autorità competenti ai +sensi della direttiva (UE) 2022/2555 di esercitare i propri poteri di vigilanza ed esecuzione nei confronti di un soggetto ai +sensi di tale direttiva individuato come soggetto critico ai sensi della presente direttiva. A tal fine, gli Stati membri +provvedono affinché le autorità competenti ai sensi della presente direttiva cooperino e scambino informazioni con tali +autorità competenti ai sensi della direttiva (UE) 2022/2555 + +Articolo 22 +Sanzioni +Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione delle misure nazionali adottate +ai sensi della presente direttiva e prendono tutte le misure necessarie per assicurarne l’attuazione. Le sanzioni previste sono +effettive, proporzionate e dissuasive. Gli Stati membri notificano tali disposizioni alla Commissione al più tardi entro il +17 ottobre 2024, e provvedono poi a darle immediata notifica delle eventuali modifiche successive. + +CAPO VII +ATTI DELEGATI E ATTI DI ESECUZIONE + +Articolo 23 +Esercizio della delega +1. + +Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo. + +2. +Il potere di adottare atti delegati di cui all’articolo 5, paragrafo 1, è conferito alla Commissione per un periodo di +cinque anni a decorrere dal 16 gennaio 2023. +3. +La delega di potere di cui all’articolo 5, paragrafo 1, può essere revocata in qualsiasi momento dal Parlamento europeo +o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal +giorno successivo alla pubblicazione della decisione nella Gazzetta Ufficiale dell’Unione europea o da una data successiva ivi +specificata. Essa non pregiudica la validità degli atti delegati già in vigore. +4. +Prima dell’adozione dell’atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel +rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016. +5. +Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al +Consiglio. + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/191 + +6. +L’atto delegato adottato ai sensi dell’articolo 5, paragrafo 1, entra in vigore solo se né il Parlamento europeo né il +Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima +della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non +intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio. + +Articolo 24 +Procedura di comitato +1. + +La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011. + +2. + +Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011. + +CAPO VIII +DISPOSIZIONI FINALI + +Articolo 25 +Relazioni e riesame +Entro il 17 luglio 2027, la Commissione presenta al Parlamento europeo e al Consiglio una relazione in cui valuta in quale +misura ciascuno Stato membro abbia adottato le misure necessarie per conformarsi alla presente direttiva. +La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito +al Parlamento europeo e al Consiglio. Tale relazione valuta in particolare il valore aggiunto della presente direttiva, il suo +impatto nel garantire la resilienza dei soggetti critici, e se l’allegato della presente direttiva debba essere modificato. La +Commissione presenta la prima di tali relazioni entro il 17 giugno 2029. Al fine della relazione ai sensi del presente +articolo, la Commissione tiene conto dei pertinenti documenti del gruppo per la resilienza dei soggetti critici. + +Articolo 26 +Recepimento +1. +Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente +direttiva. Essi ne informano immediatamente la Commissione. +Gli Stati membri applicano tali misure a decorrere dal 18 ottobre 2024. +2. +Le misure di cui al paragrafo 1 adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono +corredate di tale riferimento all’atto della pubblicazione ufficiale. Le modalità del riferimento sono stabilite dagli Stati +membri. + +Articolo 27 +Abrogazione della direttiva 2008/114/CE +La direttiva 2008/114/CE è abrogata a decorrere dal 18 ottobre 2024. +I riferimenti alla direttiva abrogata si intendono fatti alla presente direttiva. + +L 333/192 + +IT + +Gazzetta ufficiale dell’Unione europea + +27.12.2022 + +Articolo 28 +Entrata in vigore +La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione +europea. +Articolo 29 +Destinatari +Gli Stati membri sono destinatari della presente direttiva. + +Fatto a Strasburgo, il 14 dicembre 2022 + +Per il Parlamento europeo +La presidente +R. METSOLA + +Per il Consiglio +Il presidente +M. BEK + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +L 333/193 + +ALLEGATO + +SETTORI, SOTTOSETTORI E CATEGORIE DI SOGGETTI +Settori + +1. + +Energia + +Sottosettori + +a) + +Energia elettrica + +Categorie di soggetti + +— Imprese elettriche quali definite all’articolo 2, +punto 57), della direttiva (UE) 2019/944 del Par­ +lamento europeo e del Consiglio (1) che svolgono +l’attività di «fornitura» quali definite all’articolo 2, +punto 12), di tale direttiva +— Gestori del sistema di distribuzione quali definiti +all’articolo 2, punto 29), della direttiva (UE) +2019/944 +— Gestori del sistema di trasmissione quali definiti +all’articolo 2, punto 35), della direttiva (UE) +2019/944 +— Produttori quali definiti all’articolo 2, punto 38), +della direttiva (UE) 2019/944 +— Gestori del mercato elettrico designati quali defi­ +niti all’articolo 2, punto 8), del regolamento (UE) +2019/943 del Parlamento europeo e del Consi­ +glio (2) +— Partecipanti al mercato quali definiti all’arti­ +colo 2, punto 25), del regolamento (UE) +2019/943 che forniscono servizi di aggrega­ +zione, gestione della domanda o stoccaggio di +energia quali definiti all’articolo 2, punti 18), +20) e 59), della direttiva (UE) 2019/944 + +b) + +Teleriscaldamento e teleraf­ +frescamento + +— Gestori di teleriscaldamento o teleraffresca­ +mento quali definiti all’articolo 2, punto 19), +della direttiva (UE) 2018/2001 del Parlamento +europeo e del Consiglio (3) + +c) + +Petrolio + +— Gestori di oleodotti +— Gestori di impianti di produzione, raffinazione, +trattamento, deposito e trasporto di petrolio +— Organismi centrali di stoccaggio quali definiti +all’articolo 2, lettera f), della direttiva +2009/119/CE del Consiglio (4) + +L 333/194 + +IT + +Gazzetta ufficiale dell’Unione europea + +Settori + +Sottosettori + +d) + +Gas + +27.12.2022 + +Categorie di soggetti + +— Imprese fornitrici quali definite all’articolo 2, +punto 8), della direttiva 2009/73/CE del Parla­ +mento europeo e del Consiglio (5) +— Gestori del sistema di distribuzione quali definiti +all’articolo 2, punto 6), della direttiva +2009/73/CE +— Gestori del sistema di trasporto quali definiti +all’articolo 2, punto 4), della direttiva +2009/73/CE +— Gestori dell’impianto di stoccaggio quali definiti +all’articolo 2, punto 10), della direttiva +2009/73/CE +— Gestori del sistema GNL quali definiti all’arti­ +colo 2, punto 12), della direttiva 2009/73/CE +— Imprese di gas naturale quali definite all’arti­ +colo 2, punto 1), della direttiva 2009/73/CE +— Gestori di impianti di raffinazione e trattamento +di gas naturale + +2. + +Trasporti + +e) + +Idrogeno + +— Gestori di impianti di produzione, stoccaggio e +trasporto di idrogeno + +a) + +Trasporto aereo + +— Vettori aerei quali definiti all’articolo 3, punto 4), +del regolamento (CE) n. 300/2008 utilizzati a fini +commerciali +— Gestori aeroportuali quali definiti all’articolo 2, +punto 2), della direttiva 2009/12/CE del Parla­ +mento europeo e del Consiglio (6), aeroporti +quali definiti all’articolo 2, punto 1), di tale diret­ +tiva, compresi gli aeroporti centrali di cui all’al­ +legato II, sezione 2, del regolamento (UE) +n. 1315/2013 del Parlamento europeo e del Con­ +siglio (7), e soggetti che gestiscono impianti +annessi situati in aeroporti +— Operatori attivi nel controllo della gestione del +traffico che forniscono servizi di controllo del +traffico aereo quali definiti all’articolo 2, punto +1), del regolamento (CE) n. 549/2004 del Parla­ +mento europeo e del Consiglio (8) + +27.12.2022 + +IT + +Gazzetta ufficiale dell’Unione europea + +Settori + +b) + +L 333/195 + +Sottosettori + +Categorie di soggetti + +Trasporto ferroviario + +— Gestori dell’infrastruttura quali definiti all’arti­ +colo 3, punto 2), della direttiva 2012/34/UE del +Parlamento europeo e del Consiglio (9) +— Imprese ferroviarie quali definite all’articolo 3, +punto 1), della direttiva 2012/34/UE e operatori +degli impianti di servizio quali definiti all’arti­ +colo 3, punto 12), di tale direttiva + +c) + +Trasporto per vie d’acqua + +— Compagnie di navigazione per il trasporto per +vie d’acqua interne, marittimo e costiero di pas­ +seggeri e merci quali definite all’allegato I del +regolamento (CE) n. 725/2004, escluse le singole +navi gestite da tali compagnie +— Organi di gestione dei porti quali definiti all’arti­ +colo 3, punto 1), della direttiva 2005/65/CE, +compresi i relativi impianti portuali quali definiti +all’articolo 2, punto 11), del regolamento (CE) +n. 725/2004, e soggetti che gestiscono opere e +attrezzature all’interno di porti +— Gestori di servizi di assistenza al traffico marit­ +timo (VTS) quali definiti all’articolo 3, lettera o), +della direttiva 2002/59/CE del Parlamento euro­ +peo e del Consiglio (10) + +d) + +Trasporto su strada + +— Autorità stradali quali definite all’articolo 2, +punto 12), del regolamento delegato +(UE) 2015/962 della Commissione (11) responsa­ +bili del controllo della gestione del traffico, +esclusi i soggetti pubblici per i quali la gestione +del traffico o la gestione di sistemi di trasporto +intelligenti costituiscono una parte non essen­ +ziale della loro attività generale +— Gestori di sistemi di trasporto intelligenti quali +definiti all’articolo 4, punto 1), della direttiva +2010/40/UE del Parlamento europeo e del Con­ +siglio (12) + +e) + +Trasporto pubblico + +— Operatori di servizio pubblico quali definiti +all’articolo 2, lettera d), del regolamento (CE) +n. 1370/2007 del Parlamento europeo e del Con­ +siglio (13) + +3. + +Settore bancario + +— Enti creditizi quali definiti all’articolo 4, punto 1), +del regolamento (UE) n. 575/2013 + +4. + +Infrastrutture dei mercati fi­ +nanziari + +— Gestori di sedi di negoziazione quali definiti +all’articolo 4, punto 24), della direttiva +2014/65/UE +— Controparti centrali (CCP) quali definite all’arti­ +colo 2, punto 1), del regolamento (UE) +n. 648/2012 + +IT + +L 333/196 + +Settori + +5. + +Salute + +Gazzetta ufficiale dell’Unione europea + +Sottosettori + +27.12.2022 + +Categorie di soggetti + +— Prestatori di assistenza sanitaria quali definiti +all’articolo 3, lettera g), della direttiva +2011/24/UE del Parlamento europeo e del Con­ +siglio (14) +— Laboratori di riferimento dell’UE di cui all’arti­ +colo 15 del regolamento (UE) 2022/2371 del +Parlamento europeo e del Consiglio (15) +— Soggetti che svolgono attività di ricerca e svi­ +luppo relative ai medicinali quali definiti all’arti­ +colo 1, punto 2), della direttiva 2001/83/CE del +Parlamento europeo e del Consiglio (16) +— Soggetti che fabbricano prodotti farmaceutici di +base e preparati farmaceutici di cui alla sezione C, +divisione 21, della NACE Rev. 2 +— Soggetti che fabbricano dispositivi medici consi­ +derati critici durante un’emergenza di sanità pub­ +blica («elenco dei dispositivi critici per l’emer­ +genza di sanità pubblica») ai sensi +dell’articolo 22 del regolamento (UE) 2022/123 +del Parlamento europeo e del Consiglio (17) +— Soggetti titolari di un’autorizzazione di distribu­ +zione di cui all’articolo 79 della direttiva +2001/83/CE + +6. + +Acqua potabile + +— Fornitori e distributori di acque destinate al con­ +sumo umano, quali definiti all’articolo 2, punto +1), lettera a), della direttiva (UE) 2020/2184 del +Parlamento europeo e del Consiglio (18), esclusi i +distributori per i quali la distribuzione di acque +destinate al consumo umano è una parte non +essenziale dell’attività generale di distribuzione +di altri prodotti e beni + +7. + +Acque reflue + +— Imprese che raccolgono, smaltiscono o trattano +acque reflue urbane, acque reflue domestiche o +acque reflue industriali quali definite all’arti­ +colo 2, punti 1), 2) e 3), della direttiva +91/271/CEE del Consiglio (19) escluse le imprese +per cui la raccolta, lo smaltimento o il tratta­ +mento di acque reflue urbane, acque reflue +domestiche e acque reflue industriali è una +parte non essenziale della loro attività generale + +IT + +27.12.2022 + +Settori + +8. + +Infrastrutture digitali + +Gazzetta ufficiale dell’Unione europea + +Sottosettori + +L 333/197 + +Categorie di soggetti + +— Fornitori di punti di interscambio Internet quali +definiti all’articolo 6, punto 18), della direttiva +(UE) 2022/2555 +— Fornitori di servizi DNS quali definiti all’arti­ +colo 6, punto 20), della direttiva (UE) 2022/ +2555, esclusi gli operatori dei server dei nomi +radice +— Registri dei nomi di dominio di primo livello +quali definiti all’articolo 6, punto 21), della diret­ +tiva (UE) 2022/2555 +— Fornitori di servizi di cloud computing quali +definiti all’articolo 6, punto 30), della direttiva +(UE) 2022/2555 +— Fornitori di servizi di data center quali definiti +all’articolo 6, punto 31), della direttiva (UE) +2022/2555 +— Fornitori di reti di distribuzione dei contenuti +(content delivery network) quali definiti all’arti­ +colo 6, punto 32), della direttiva (UE) 2022/2555 +— Prestatori di servizi fiduciari quali definiti all’ar­ +ticolo 3, punto 19), del regolamento (UE) +910/2014 del Parlamento europeo e del Consi­ +glio (20) +— Fornitori di reti pubbliche di comunicazione +elettronica quali definite all’articolo 2, punto 8), +della direttiva (UE) 2018/1972 del Parlamento +europeo e del Consiglio (21) +— Fornitori di servizi di comunicazione elettronica +ai sensi dell’articolo 2, punto 4), della direttiva +(UE) 2018/1972 nella misura in cui tali servizi +siano accessibili al pubblico + +9. + +Enti della pubblica ammini­ +strazione + +— Enti della pubblica amministrazione delle ammi­ +nistrazioni centrali come definiti da Stati membri +conformemente al diritto nazionale + +10. + +Spazio + +— Operatori di infrastrutture terrestri possedute, +gestite e operate dagli Stati membri o da privati, +che sostengono la fornitura di servizi spaziali, +esclusi i fornitori di reti pubbliche di comunica­ +zione elettronica quali definite all’articolo 2, +punto 8), della direttiva (UE) 2018/1972 + +L 333/198 + +IT + +Settori + +11. + +Produzione, trasformazio­ +ne e distribuzione di ali­ +menti + +Gazzetta ufficiale dell’Unione europea + +Sottosettori + +27.12.2022 + +Categorie di soggetti + +— Imprese alimentari quali definite all’articolo 3, +punto 2), del regolamento (CE) n. 178/2002 del +Parlamento europeo e del Consiglio (22) impe­ +gnate esclusivamente nella logistica e nella distri­ +buzione all’ingrosso nonché nella produzione e +trasformazione industriale su larga scala + +(1) Direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, del 5 giugno 2019, relativa a norme comuni per il mercato interno +dell’energia elettrica e che modifica la direttiva 2012/27/UE (GU L 158 del 14.6.2019, pag. 125). +(2) Regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sul mercato interno dell’energia elettrica +(GU L 158 del 14.6.2019, pag. 54). +(3) Direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, sulla promozione dell’uso dell’energia da +fonti rinnovabili (GU L 328 del 21.12.2018, pag. 82). +(4) Direttiva 2009/119/CE del Consiglio, del 14 settembre 2009, che stabilisce l’obbligo per gli Stati membri di mantenere un livello +minimo di scorte di petrolio greggio e/o di prodotti petroliferi (GU L 265 del 9.10.2009, pag. 9). +(5) Direttiva 2009/73/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa a norme comuni per il mercato interno del +gas naturale e che abroga la direttiva 2003/55/CE (GU L 211 del 14.8.2009, pag. 94). +(6) Direttiva 2009/12/CE del Parlamento europeo e del Consiglio, dell’11 marzo 2009, concernente i diritti aeroportuali (GU L 70 del +14.3.2009, pag. 11). +(7) Regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio, dell’11 dicembre 2013, sugli orientamenti dell’Unione per lo +sviluppo della rete transeuropea dei trasporti e che abroga la decisione n. 661/2010/UE (GU L 348 del 20.12.2013, pag. 1). +(8) Regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che stabilisce i principi generali per +l’istituzione del cielo unico europeo («regolamento quadro») (GU L 96 del 31.3.2004, pag. 1). +(9) Direttiva 2012/34/UE del Parlamento europeo e del Consiglio, del 21 novembre 2012, che istituisce uno spazio ferroviario europeo +unico (GU L 343 del 14.12.2012, pag. 32). +(10) Direttiva 2002/59/CE del Parlamento europeo e del Consiglio, del 27 giugno 2002, relativa all’istituzione di un sistema comunitario di +monitoraggio del traffico navale e d’informazione e che abroga la direttiva 93/75/CEE del Consiglio (GU L 208 del 5.8.2002, pag. 10). +(11) Regolamento delegato (UE) 2015/962 della Commissione, del 18 dicembre 2014, che integra la direttiva 2010/40/UE del Parlamento +europeo e del Consiglio relativamente alla predisposizione in tutto il territorio dell’Unione europea di servizi di informazione sul +traffico in tempo reale (GU L 157 del 23.6.2015, pag. 21). +(12) Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di +trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1). +(13) Regolamento (CE) n. 1370/2007 del Parlamento europeo e del Consiglio, del 23 ottobre 2007, relativo ai servizi pubblici di trasporto +di passeggeri su strada e per ferrovia e che abroga i regolamenti del Consiglio (CEE) n. 1191/69 e (CEE) n. 1107/70 (GU L 315 del +3.12.2007, pag. 1). +(14) Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l’applicazione dei diritti dei pazienti +relativi all’assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45). +(15) Regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio, del 23 novembre 2022, relativo alle gravi minacce per la salute +a carattere transfrontaliero e che abroga la decisione n. 1082/2013/UE (GU L 314 del 6.12.2022, pag. 26). +(16) Direttiva 2001/83/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai +medicinali per uso umano (GU L 311 del 28.11.2001, pag. 67). +(17) Regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio, del 25 gennaio 2022, relativo a un ruolo rafforzato dell’Agenzia +europea per i medicinali nella preparazione alle crisi e nella loro gestione in relazione ai medicinali e ai dispositivi medici (GU L 20 del +31.1.2022, pag. 1). +(18) Direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio, del 16 dicembre 2020, concernente la qualità delle acque destinate +al consumo umano (GU L 435 del 23.12.2020, pag. 1). +(19) Direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, concernente il trattamento delle acque reflue urbane (GU L 135 del +30.5.1991, pag. 40). +(20) Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e +servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, +pag. 73). +(21) Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il codice europeo delle +comunicazioni elettroniche (GU L 321 del 17.12.2018, pag. 36). +(22) Regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio, del 28 gennaio 2002, che stabilisce i principi e i requisiti +generali della legislazione alimentare, istituisce l’Autorità europea per la sicurezza alimentare e fissa procedure nel campo della +sicurezza alimentare (GU L 31 dell’1.2.2002, pag. 1). + diff --git a/docs/nis2/INTEGRAZIONE_COMPLETATA.md b/docs/nis2/INTEGRAZIONE_COMPLETATA.md new file mode 100644 index 0000000..fb2b8b7 --- /dev/null +++ b/docs/nis2/INTEGRAZIONE_COMPLETATA.md @@ -0,0 +1,88 @@ +# Integrazione analisi `docs/nis2/` → NIS2 Agile + +> Data: 2026-05-29 (CEST) · Versione: v1.7.0 · Stato: **✅ DEPLOYATO ED ESEGUITO IN PRODUZIONE (Hetzner)** + +## ✅ Eseguito in produzione (2026-05-29 ~17:06 CEST) +- **Codice**: live su `/var/www/nis2-agile` (stesso filesystem del container dev via bind mount → nessuno scp necessario). 5 nuovi endpoint verificati live (HTTP 401 auth, routing OK). +- **Migrazioni DB 020/021/022**: applicate e verificate (colonne assets/incidents + tabella `incident_pir` create). +- **Ingest KB**: **287 chunk** normativi indicizzati in Qdrant `nis2_kb` scope SYSTEM (171 NIS2 + 77 CER + 25 Det.333017 + 9 Det.164179 + 5 Ambiti). Retrieval verificato (query "preallarme CSIRT" → Direttiva NIS2; "settori alta criticità" → Ambiti Allegati I/II). +- **Backup**: `/root/backup_pre_v170_20260529_165447.sql`. + +### ⚠️ Azione consigliata residua (richiede conferma — recreate container) +**Qdrant IP drift**: il container `nis2-qdrant` non ha IP statico in `docker-compose.yml` ed è driftato da `172.21.0.5` → `172.21.0.3`. Fallback in `VectorService.php` aggiornato a `.3` (live). Per evitare ricorrenze: in `docker/docker-compose.yml` assegnare `ipv4_address` statico al servizio `qdrant` e allineare `QDRANT_URL`, poi `docker compose up -d --force-recreate qdrant app`. NB: nota anche che `kb_uploaded_documents` non esiste su questo DB (migrazioni KB 012-014 non applicate qui) → il tracking MySQL dei doc KB è saltato (best-effort), ma la ricerca RAG legge da Qdrant e funziona. + +--- + +Integrazione del materiale di analisi (mockup HTML + testi normativi PDF) nel prodotto NIS2 Agile. +Tutto il codice è scritto e lint-clean (`php -l` / `node --check`). **Le migrazioni DB e l'ingest KB +NON sono ancora stati eseguiti** (questo container dev non raggiunge il DB/Qdrant di produzione). + +--- + +## Cosa è stato implementato + +### Fase 1 — Asset Relevance Scoring NIS2 (GV.OC-04) +Metodologia di scoring 0-100 su 6 criteri pesati, soglia rilevanza ≥40, classi critico/alto/medio/basso/trascurabile. +- `docs/sql/020_asset_relevance.sql` — colonne `relevance_score`, `relevance_criteria` (JSON), `relevance_class`, `is_nis2_relevant`, `relevance_assessed_at/by` + indice +- `application/services/AssetScoringService.php` — logica pura + griglia ufficiale in costante +- `application/controllers/AssetController.php` — `GET scoringGrid`, `POST {id}/score`, `GET relevantSystems`, filtro `nis2_relevant` +- `public/assets.html` — colonna "Rilevanza NIS2" + modale di valutazione a 6 criteri con anteprima punteggio +- `public/js/api.js` — `getScoringGrid`, `scoreAsset`, `listRelevantSystems`, `deleteAsset` +- Verifica: esempio ERP del mockup = **91/100 → critico** ✓ + +### Fase 2 — Tassonomia incidenti (Determina ACN 164179/2025) +- `docs/sql/021_incident_nis2_taxonomy.sql` — colonne `nis2_incident_type` ENUM(IS-1..IS-4), `entity_obligation` ENUM(essential/important) +- `application/controllers/IncidentController.php` — `create()` deriva il regime (Allegato 3 essenziali / Allegato 4 importanti) e blocca IS-4 per gli importanti +- `application/services/AIService.php` — `classifyIncident()` cita le fonti e restituisce `nis2_incident_type` + `notification_basis` + +### Fase 3 — Post-Incident Review + metriche TTD/TTC/TTR +- `docs/sql/022_incident_metrics_pir.sql` — timestamp di fase (`triaged_at`, `contained_at`, `eradicated_at`, `recovered_at`) + tabella `incident_pir` (5-Whys, metriche, costo, lesson learned) +- `IncidentController.php` — `GET {id}/metrics`, `GET {id}/pir`, `POST {id}/pir`; `update()` timbra i timestamp di fase al cambio stato +- `public/js/api.js` — `getIncidentMetrics`, `getIncidentPir`, `saveIncidentPir`, `aiClassifyIncident` + +### Fase 4 — Layer mapping NIST CSF 2.0 (reference, non invasivo) +- `application/controllers/AuditController.php` — `GET nistCsfMapping`: 43 controlli NIST CSF 2.0 → NIS2 Art.21/23 → modulo. **Nessuna migrazione**, nessuna modifica all'assessment esistente. + +### Fonti normative certe (richiesta esplicita: AI + help citano fonti certe) +- `application/config/nis2_sources.php` — **registry canonico citabile** (Dir. 2022/2555, Dir. 2022/2557, D.Lgs. 138/2024, Determina ACN 164179/2025, Determina ACN 333017/2025, Ambiti NIS2) +- `application/services/AIService.php` — `authoritativeSourcesBlock()` iniettato nei system prompt (default, RAG, classifyIncident): impone di citare le fonti e vieta riferimenti inventati +- `public/js/help.js` — riferimenti normativi italiani aggiunti a incidenti e asset +- `scripts/ingest-nis2-sources.php` — indicizza i 5 PDF normativi nella KB (Qdrant `nis2_kb`, scope SYSTEM) per il grounding RAG + +### Report +- `ReportService::generateRelevantSystemsRegister()` + `GET /api/audit/relevantSystemsRegister` — registro formale "Sistemi Rilevanti NIS2" (GV.OC-04) HTML stampabile con citazioni. + +--- + +## Deploy su Hetzner (da eseguire, in ordine — CHIEDERE CONFERMA UTENTE) + +```bash +# 0) Backup pre-migrazione +ssh -i docs/credentials/hetzner_key root@135.181.149.254 +mysqldump nis2_agile_db assets incidents > /root/backup_pre_v170_$(date +%F).sql + +# 1) Deploy codice (bind mount: PHP live; verificare path reale di produzione) +cd /var/www/nis2-agile && git pull origin main # dopo push su Gitea + +# 2) Migrazioni DB (additive, idempotenti). NB: usare host MySQL, non docker exec nis2-db +mysql -h localhost nis2_agile_db -e "source /var/www/nis2-agile/docs/sql/020_asset_relevance.sql" +mysql -h localhost nis2_agile_db -e "source /var/www/nis2-agile/docs/sql/021_incident_nis2_taxonomy.sql" +mysql -h localhost nis2_agile_db -e "source /var/www/nis2-agile/docs/sql/022_incident_metrics_pir.sql" + +# 3) Ingest fonti normative nella KB (richiede Qdrant + Voyage attivi) +docker exec -i nis2-app php /var/www/nis2-agile/scripts/ingest-nis2-sources.php --dry-run # verifica +docker exec -i nis2-app php /var/www/nis2-agile/scripts/ingest-nis2-sources.php # esegui + +# 4) Smoke test +curl -s https://nis2.agile.software/api/assets/scoringGrid -H "Authorization: Bearer " | head +``` + +### Rollback +Ogni `.sql` contiene la sezione ROLLBACK in coda. Per la KB: cancellare i chunk scope=SYSTEM/source=normativa o ripristinare la collection. + +--- + +## Note +- **Phase 4** è volutamente reference-only (nessuna tabella/migrazione) per non toccare l'assessment Art.21 consolidato. +- I PDF normativi restano in `docs/nis2/*.pdf` come libreria sorgente referenziata da `nis2_sources.php`. +- I file `*copy.html` e `incidente_r00/` dei mockup non sono stati usati (duplicati/superati). diff --git a/docs/nis2/assets.html b/docs/nis2/assets.html new file mode 100644 index 0000000..0b7cb4e --- /dev/null +++ b/docs/nis2/assets.html @@ -0,0 +1,2015 @@ + + + + + + Inventario Asset - NIS2 Management System + + + +
+
+
+

Inventario Asset e Sistemi Rilevanti

+
+ Dashboard / Org.01 - Inventario Asset +
+
+
+ + +
+
+
+ +
+ +
+
+
Asset Totali
+
247
+
+12 ultimo mese
+
+
+
Sistemi Rilevanti NIS2
+
38
+
15.4% del totale
+
+
+
Asset Critici (≥80)
+
12
+
100% protetti
+
+
+
Copertura Inventario
+
98.5%
+
Target: ≥98%
+
+
+
Accuratezza Dati
+
96.2%
+
Target: ≥95%
+
+
+
Aggiornamento
+
100%
+
Ultimi 90gg
+
+
+ + +
+
Requisiti NIS2 Coperti
+
+ ID.AM-01 Inventario asset fisici | + ID.AM-02 Inventario software e sistemi | + ID.AM-03 Diagrammi flussi dati SOLO ESSENZIALI | + ID.AM-04 Catalogo servizi | + GV.OC-04 Elenco sistemi rilevanti +
+
+ + +
+ + + + + + + +
+ + +
+
+
+ Inventario Asset Hardware (ID.AM-01) + ? +
+
HELP DELLA SEZIONE
+ Censimento completo di tutti gli asset fisici: server, dispositivi di rete, endpoint, dispositivi speciali. Per ogni asset sono richiesti metadati completi incluso il campo RILEVANZA NIS2 obbligatorio con punteggio calcolato secondo griglia di valutazione. +
+ +
+
+ +
+
+ Categoria: + +
+
+ Rilevanza NIS2: + +
+
+ Criticità: + +
+
+ Cerca: + +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceTipo AssetNome/DescrizioneMarca/ModelloIP AddressUbicazioneResponsabileCriticitàRilevanza NIS2Punteggio + ? +
+
CALCOLO
+ Punteggio = Somma(Criteri 1-6)
+ Criterio 1: Criticità Operativa (0-25)
+ Criterio 2: Impatto Interruzione (0-25)
+ Criterio 3: Dati Trattati (0-20)
+ Criterio 4: Dipendenze (0-15)
+ Criterio 5: Esposizione (0-10)
+ Criterio 6: Obblighi Normativi (0-5)
+ Max: 100 punti
+ Soglia Rilevanza: ≥40 +
+ + 		StatoAzioni
HW-SRV-001Server FisicoERP-PROD-01 - Server ERP PrincipaleDell PowerEdge R75010.10.1.10DC-Milano-Rack-A12M. RossiCriticoSI91 + ? +
+
CALCOLO
+ Criticità Operativa: 25
+ Impatto Interruzione: 25
+ Dati Trattati: 15
+ Dipendenze: 15
+ Esposizione: 8
+ Obblighi Normativi: 3
+ TOTALE: 91 +
+ + 		Operativo
HW-NET-015FirewallFW-PERIMETRALE-01Fortinet FortiGate 600E10.10.0.1DC-Milano-Rack-A01L. BianchiCriticoSI88 + ? +
+
CALCOLO
+ Criticità Operativa: 25
+ Impatto Interruzione: 25
+ Dati Trattati: 10
+ Dipendenze: 15
+ Esposizione: 10
+ Obblighi Normativi: 3
+ TOTALE: 88 +
+ + 		Operativo
HW-SRV-023Server VirtualeWEB-APP-PROD-01VMware VM10.10.2.45Cluster-VMware-01G. VerdiAltoSI72 + ? +
+
CALCOLO
+ Criticità Operativa: 20
+ Impatto Interruzione: 20
+ Dati Trattati: 15
+ Dipendenze: 9
+ Esposizione: 8
+ Obblighi Normativi: 0
+ TOTALE: 72 +
+ + 		Operativo
HW-END-156LaptopLaptop CEODell Latitude 7420DHCPUfficio DirezioneCEOMedioSI52 + ? +
+
CALCOLO
+ Criticità Operativa: 15
+ Impatto Interruzione: 10
+ Dati Trattati: 15
+ Dipendenze: 0
+ Esposizione: 10
+ Obblighi Normativi: 2
+ TOTALE: 52 +
+ + 		Operativo
HW-END-234DesktopWorkstation UfficioHP EliteDesk 80010.20.5.87Ufficio Piano 2Dipendente Amm.BassoNO28Operativo
+
+
+ + +
+
+
+ Inventario Asset Software e Sistemi (ID.AM-02) + ? +
+
HELP DELLA SEZIONE
+ Catalogo completo di software, applicazioni e sistemi operativi. Include licenze, versioni, responsabili e valutazione rilevanza NIS2. Particolare attenzione a sistemi business-critical e applicazioni di sicurezza (SIEM obbligatorio per soggetti essenziali). +
+ +
+
+ +
+
+ Categoria: + +
+
+ Rilevanza NIS2: + +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceNome ApplicazioneVendorVersioneLicenzeResponsabileServer/InfraCriticitàRilevanza NIS2PunteggioUltimo AggiornamentoAzioni
SW-ERP-001SAP ERPSAP SES/4HANA 2021150 Named UsersM. RossiHW-SRV-001CriticoSI952024-01-15
SW-SEC-008Splunk SIEM OBBLIGATORIO ESSENZIALISplunk Inc.9.1.2500GB/dayCISOHW-SRV-045CriticoSI922024-02-10
SW-DB-003Oracle DatabaseOracle Corp.19c Enterprise4 CPUDBA TeamHW-SRV-012CriticoSI892024-01-28
SW-CRM-001Salesforce CRMSalesforceEnterprise Ed.80 UsersSales ManagerCloud SaaSAltoSI68Auto-update
SW-OFF-001Microsoft 365MicrosoftE3 Plan200 UsersIT ManagerCloud SaaSMedioSI55Auto-update
+
+
+ + +
+
+
+ Servizi Cloud (ID.AM-02) + ? +
+
HELP DELLA SEZIONE
+ Inventario servizi cloud IaaS, PaaS e SaaS. Per ogni servizio cloud sono richiesti: provider, localizzazione dati, SLA, certificazioni, contratti Art.28 GDPR e piano di exit. Valutazione rilevanza NIS2 obbligatoria. +
+ +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceServizioTipoProviderLocalizzazione DatiSLA UptimeCertificazioniArt.28 GDPRCriticitàRilevanza NIS2PunteggioAzioni
CLD-IAAS-001VM Production EnvironmentIaaSAWS EC2EU-West-1 (Irlanda)99.99%ISO 27001, SOC 2SICriticoSI87
CLD-PAAS-003Azure SQL DatabasePaaSMicrosoft AzureWest Europe (Paesi Bassi)99.99%ISO 27001, SOC 2SICriticoSI85
CLD-SAAS-005Backup as a ServiceSaaSVeeam Cloud ConnectMilano, Italia99.9%ISO 27001SIAltoSI75
CLD-SAAS-012Collaboration PlatformSaaSSlackEU Region99.99%SOC 2, ISO 27001SIMedioSI48
+
+
+ + +
+
+
+ Diagrammi Rete e Flussi Dati (ID.AM-03) + SOLO SOGGETTI ESSENZIALI + ? +
+
HELP DELLA SEZIONE
+ Obbligatorio per soggetti essenziali: topologia fisica e logica, segmentazione rete, flussi dati critici, architettura sicurezza. Aggiornamento obbligatorio entro 5 giorni da ogni modifica infrastrutturale. Revisione trimestrale e approvazione CISO. +
+ +
+
+ +
+
Documenti Obbligatori per Soggetti Essenziali
+
+ Tutti i diagrammi devono essere aggiornati entro 5 giorni da ogni modifica infrastrutturale. Revisione trimestrale obbligatoria con approvazione CISO. Classificazione: Riservato. +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Tipo DiagrammaVersioneData Ultima ModificaResponsabileApprovazione CISOProssima RevisioneDocumento
Topologia Fisicav3.22024-02-15Network Manager2024-02-162024-05-15Visualizza PDF
Topologia Logicav3.12024-02-10Network Manager2024-02-112024-05-10Visualizza PDF
Flussi Dati Criticiv2.82024-01-20CISO2024-01-202024-04-20Visualizza PDF
Architettura Sicurezzav4.02024-02-01CISO2024-02-012024-05-01Visualizza PDF
+
+
+ + +
+
+
+ Catalogo Servizi Erogati (ID.AM-04) + ? +
+
HELP DELLA SEZIONE
+ Elenco completo dei servizi erogati dall'organizzazione con classificazione criticità (Essenziale/Importante/Standard), sistemi IT di supporto, RTO/RPO, SLA e valutazione rilevanza NIS2. Collegamento con inventario asset e mappa fornitori. +
+ +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceNome ServizioTipologiaUtenti/ClientiCriticità ServizioSistemi IT SupportoRTORPORilevanza NIS2PunteggioResponsabileAzioni
SVC-001Piattaforma ERP CloudB2B1.200 clientiEssenzialeHW-SRV-001, SW-ERP-001, CLD-IAAS-0014h1hSI94Service Manager
SVC-002Hosting Applicazioni GestionaliB2B850 clientiEssenzialeHW-SRV-023, CLD-IAAS-0018h4hSI88Hosting Manager
SVC-003Backup e Disaster RecoveryB2B600 clientiImportanteCLD-SAAS-005, HW-SRV-04524h24hSI76Backup Manager
SVC-004Supporto TecnicoB2B/B2CTutti i clientiImportanteSW-CRM-001, SW-OFF-00124hN/ASI62Support Manager
SVC-005Sviluppo Software CustomB2B120 progetti/annoStandardSW-DEV-ToolsN/AN/ANO35Dev Manager
+
+
+ + +
+
+
+ Sistemi Rilevanti NIS2 (GV.OC-04) + ? +
+
HELP DELLA SEZIONE
+ Elenco formale dei sistemi classificati come rilevanti (punteggio ≥40) secondo griglia di valutazione NIS2. Richiede approvazione formale Direzione/CdA. Per ogni sistema rilevante sono definite misure di sicurezza aggiuntive proporzionali al livello di criticità. +
+ +
+
+ + +
+
+ +
+
Documento Formale GV.OC-04
+
+ L'elenco dei sistemi rilevanti deve essere approvato formalmente da Direzione/CdA e revisionato semestralmente. Soglia rilevanza: punteggio ≥40. Sistemi critici (≥80) richiedono misure di sicurezza massime. +
+
+ +
+
+
Sistemi Critici (≥80)
+
12
+
+
+
Sistemi Alto (60-79)
+
15
+
+
+
Sistemi Medio (40-59)
+
11
+
+
+
Totale Rilevanti
+
38
+
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceNome Sistema/ServizioTipoPunteggio + ? +
+
CALCOLO
+ Dettaglio calcolo punteggio:
+ 1. Criticità Operativa (0-25)
+ 2. Impatto Interruzione (0-25)
+ 3. Dati Trattati (0-20)
+ 4. Dipendenze (0-15)
+ 5. Esposizione (0-10)
+ 6. Obblighi Normativi (0-5)
+ TOTALE: Somma criteri (max 100) +
+ + 		LivelloServizi BusinessRTO/RPOMonitoraggioBackupUltima ValutazioneProssima RevisioneAzioni
SW-ERP-001SAP ERPSoftware95 + ? +
+
CALCOLO
+ Criticità Operativa: 25
+ Impatto Interruzione: 25
+ Dati Trattati: 15
+ Dipendenze: 15
+ Esposizione: 10
+ Obblighi Normativi: 5
+ TOTALE: 95 +
+ + 		CRITICOSVC-0014h / 1h24/7Giornaliero2024-02-012024-05-01
SW-SEC-008Splunk SIEMSoftware92CRITICOTutti4h / 4h24/7Giornaliero2024-02-052024-05-05
HW-SRV-001ERP-PROD-01Hardware91CRITICOSVC-0014h / 1h24/7Giornaliero2024-02-012024-05-01
SVC-001Piattaforma ERP CloudServizio94CRITICOCore Business4h / 1h24/7Giornaliero2024-02-102024-05-10
HW-NET-015FW-PERIMETRALE-01Hardware88CRITICOTutti1h / N/A24/7Giornaliero2024-01-202024-04-20
+
+
+ +
+
+
+ Griglia di Valutazione Rilevanza NIS2 + ? +
+
HELP DELLA SEZIONE
+ Metodologia di scoring 0-100 punti per classificare sistemi come rilevanti NIS2. Valutazione basata su 6 criteri: Criticità Operativa (0-25), Impatto Interruzione (0-25), Dati Trattati (0-20), Dipendenze (0-15), Esposizione (0-10), Obblighi Normativi (0-5). Soglia rilevanza: ≥40 punti. +
+ +
+
+ +
+
Classificazione Rilevanza
+
+ 80-100 punti: CRITICO - Priorità Massima | + 60-79 punti: ALTO - Priorità Alta | + 40-59 punti: MEDIO - Rilevante | + 20-39 punti: BASSO - Monitoraggio | + 0-19 punti: TRASCURABILE +
+
+ +
+ +
+
+ CRITERIO 1: Criticità Operativa + 0-25 +
+
+ Valuta quanto il sistema è essenziale per l'erogazione dei servizi core business. +
+
+
+ Critico + 25 +
+
+ Molto Alto + 20 +
+
+ Alto + 15 +
+
+ Medio + 10 +
+
+ Basso + 5 +
+
+ Trascurabile + 0 +
+
+
+ + +
+
+ CRITERIO 2: Impatto Interruzione + 0-25 +
+
+ Valuta le conseguenze di un'interruzione in termini di durata e utenti impattati. +
+
+
+ >24h + >70% utenti + 25 +
+
+ 8-24h + 50-70% utenti + 20 +
+
+ 4-8h + 30-50% utenti + 15 +
+
+ 1-4h + 10-30% utenti + 10 +
+
+ <1h + <10% utenti + 5 +
+
+ Nessun impatto + 0 +
+
+
+ + +
+
+ CRITERIO 3: Dati Trattati + 0-20 +
+
+ Valuta la sensibilità e criticità dei dati gestiti dal sistema. +
+
+
+ Dati Sensibili Art.9 GDPR + 20 +
+
+ Dati Personali larga scala + 15 +
+
+ Dati Personali + Finanziari + 10 +
+
+ Dati Aziendali Riservati + 5 +
+
+ Dati Pubblici + 0 +
+
+
+ + +
+
+ CRITERIO 4: Dipendenze + 0-15 +
+
+ Valuta quanti altri sistemi critici dipendono da questo sistema. +
+
+
+ ≥5 sistemi critici + 15 +
+
+ 3-4 sistemi critici + 12 +
+
+ 2 sistemi critici + 9 +
+
+ 1 sistema critico + 6 +
+
+ 1-2 sistemi non critici + 3 +
+
+ Nessuna dipendenza + 0 +
+
+
+ + +
+
+ CRITERIO 5: Esposizione + 0-10 +
+
+ Valuta la superficie di attacco e l'esposizione del sistema. +
+
+
+ Internet pubblico senza MFA + 10 +
+
+ Internet con MFA + 8 +
+
+ Reti partner/fornitori + 6 +
+
+ Rete aziendale intranet + 4 +
+
+ Rete gestione isolata + 2 +
+
+ Completamente isolato + 0 +
+
+
+ + +
+
+ CRITERIO 6: Obblighi Normativi + 0-5 +
+
+ Valuta se il sistema è soggetto a obblighi specifici normativi o contrattuali. +
+
+
+ Richiesto da NIS2 + 5 +
+
+ Certificazioni obbligatorie + 4 +
+
+ Obblighi SLA stringenti + 3 +
+
+ Audit esterni regolari + 2 +
+
+ Nessun obbligo + 0 +
+
+
+
+ + +
+
+
Esempio di Valutazione Completa
+
+ +
+
Sistema: Piattaforma ERP Cloud per Clienti
+
+
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Criterio 1 - Criticità OperativaSistema assolutamente essenziale, core business25
Criterio 2 - Impatto InterruzioneInterruzione >8h impatta 80% clienti25
Criterio 3 - Dati TrattatiDati personali comuni >50.000 interessati + dati finanziari15
Criterio 4 - Dipendenze6 sistemi critici dipendono da questo15
Criterio 5 - EsposizioneAccessibile da internet con MFA8
Criterio 6 - Obblighi NormativiSLA contrattuale 99.5% + audit annuale3
TOTALE91 + ? +
+
CALCOLO
+ TOTALE = 25 + 25 + 15 + 15 + 8 + 3 = 91
+ Classificazione: CRITICO (80-100)
+ Rilevanza NIS2: SI +
+ +
+ Classificazione: CRITICO - Sistema Rilevante NIS2 con priorità massima +
+
+
+
+
+ + +
+
+
Misure Aggiuntive per Sistemi Rilevanti
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + +
Livello CriticitàPunteggioMisure Obbligatorie
CRITICO80-100 + Monitoraggio 24/7 con alert real-time | Backup giornaliero + test mensile | + Patch critiche entro 48h | MFA obbligatoria tutti gli accessi | + Log retention 24 mesi | Audit semestrale | Ridondanza attiva (HA/failover) | + Segmentazione rete dedicata | DR testato trimestralmente +
ALTO60-79 + Monitoraggio continuo con alert | Backup giornaliero + test trimestrale | + Patch critiche entro 72h | MFA obbligatoria accessi privilegiati | + Log retention 18 mesi | Audit annuale | DR testato semestralmente +
MEDIO40-59 + Monitoraggio standard | Backup settimanale + test semestrale | + Patch critiche entro 7 giorni | MFA raccomandato | + Log retention 12 mesi | Audit biennale | DR testato annualmente +
+
+
+ + +
+
+
Processo di Revisione Periodica
+
+ +
+
Frequenza Revisione
+
+ Trimestrale: Revisione sistemi critici (punteggio ≥80) | + Semestrale: Revisione tutti i sistemi rilevanti | + Annuale: Rivalutazione completa con griglia aggiornata | + Straordinaria: Cambio significativo, nuovi sistemi, incidenti, modifiche architetturali +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Trigger RivalutazioneDescrizioneAzione Richiesta
Nuovo sistema implementatoDeployment di nuovo sistema IT o servizioValutazione completa entro 15 giorni
Modifica significativaCambio architettura, funzionalità, utentiRivalutazione entro 30 giorni
Incidente di sicurezzaIncidente grave su sistema rilevanteRivalutazione immediata post-incident
Cambio normativoNuove normative o requisiti NIS2Rivalutazione tutti i sistemi entro 60 giorni
Feedback auditRaccomandazioni da audit interno/esternoRivalutazione sistemi indicati entro 45 giorni
+
+
+ + +
+
+
KPI Gestione Inventario
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Codice KPIDescrizioneFormulaTargetValore AttualeStatus
INV-KPI-01Copertura inventarioAsset censiti / Asset totali stimati × 100 + ? +
+
CALCOLO
+ Numeratore: Asset presenti in inventario
+ Denominatore: Asset totali stimati (da discovery + stime)
+ Formula: (247 / 251) × 100 = 98.4% +
+ + 		≥98%98.5%OK
INV-KPI-02Accuratezza datiAsset con dati completi / Totale asset × 100 + ? +
+
CALCOLO
+ Numeratore: Asset con tutti i metadati obbligatori compilati
+ Denominatore: Totale asset in inventario
+ Formula: (238 / 247) × 100 = 96.4% +
+ + 		≥95%96.2%OK
INV-KPI-03AggiornamentoAsset aggiornati ultimi 90gg / Totale × 100 + ? +
+
CALCOLO
+ Numeratore: Asset con data ultimo aggiornamento < 90 giorni
+ Denominatore: Totale asset in inventario
+ Formula: (247 / 247) × 100 = 100% +
+ + 		100%100%OK
INV-KPI-04Sistemi rilevanti protettiSistemi rilevanti con tutte misure / Totale rilevanti × 100 + ? +
+
CALCOLO
+ Numeratore: Sistemi rilevanti con misure complete implementate
+ Denominatore: Totale sistemi rilevanti
+ Formula: (38 / 38) × 100 = 100% +
+ + 		100%100%OK
INV-KPI-05Valutazione rilevanza aggiornataSistemi con punteggio <6 mesi / Totale × 100 + ? +
+
CALCOLO
+ Numeratore: Sistemi con valutazione rilevanza < 6 mesi
+ Denominatore: Totale sistemi in inventario
+ Formula: (247 / 247) × 100 = 100% +
+ + 		100%100%OK
+
+
+
+
+ + + + diff --git a/docs/nis2/dashboard.html b/docs/nis2/dashboard.html new file mode 100644 index 0000000..0987fd3 --- /dev/null +++ b/docs/nis2/dashboard.html @@ -0,0 +1,1481 @@ + + + + + + NIS2 Dashboard - Sistema di Gestione Cybersecurity + + + +
+
+

NIS2 Dashboard - Sistema di Gestione Cybersecurity

+

Monitoraggio conformità Direttiva NIS2 e requisiti di sicurezza informatica

+
+
+ +
+ +
+
+

Conformità Totale

+
94%
+
44 requisiti totali mappati
+
+
+ + + + +
+
94
+
+
+
+ +
+

Governance

+
11
+
Requisiti implementati
+
+
+ + + + +
+
100
+
+
+
+ +
+

Identificazione

+
10
+
Requisiti implementati
+
+
+ + + + +
+
100
+
+
+
+ +
+

Protezione

+
16
+
Requisiti implementati
+
+
+ + + + +
+
100
+
+
+
+ +
+

Rilevazione

+
2
+
Requisiti implementati
+
+
+ + + + +
+
100
+
+
+
+ +
+

Risposta/Ripristino

+
4
+
Requisiti implementati
+
+
+ + + + +
+
100
+
+
+
+
+ + +
+ + + + + + +
+ + +
+
+
+ REQUISITI GOVERNANCE (GOVERN) + ? +
+
HELP DELLA SEZIONE
+ I requisiti di Governance stabiliscono il framework organizzativo per la gestione della cybersecurity. Include politiche, processi decisionali, gestione dei rischi, ruoli e responsabilità, e gestione della supply chain. +
+ +
+
+
+
+
+
GV.OC-04
+
+ + + + +
+
+
+
Elenco sistemi informativi e di rete rilevanti
+
Coperto da: Org.01 - Inventario Asset e Sistemi Rilevanti
+
Processo: Identificazione e classificazione sistemi rilevanti con approvazione Direzione
+
+ +
+
+
GV.RM-03
+
+ + + + +
+
+
+
Processo di gestione dei rischi cyber
+
Coperto da: Org.05 - Gestione Rischi Cibernetici
+
Processo: Risk assessment ciclico con metodologia documentata
+
+ +
+
+
GV.RR-02
+
+ + + + +
+
+
+
Ruoli e responsabilità cybersecurity
+
Coperto da: Org.03 - Struttura Organizzativa Cybersecurity
+
Processo: Organigramma con CISO, team, deleghe formali
+
+ +
+
+
GV.RR-04
+
+ + + + +
+
+
+
Risorse per cybersecurity
+
Coperto da: Org.03 - Budget Cybersecurity
+
Processo: Budget annuale approvato CdA, monitoraggio trimestrale
+
+ +
+
+
GV.PO-01
+
+ + + + +
+
+
+
Politica di sicurezza delle informazioni
+
Coperto da: Sistema Documentale - Politica Sicurezza
+
Processo: Politica approvata CdA, comunicata, revisione annuale
+
+ +
+
+
GV.PO-02
+
+ + + + +
+
+
+
Ruoli e responsabilità definiti in politiche
+
Coperto da: Org.03 + Politica Sicurezza
+
Processo: Job description e RACI in politica
+
+ +
+
+
GV.SC-01
+
+ + + + +
+
+
+
Processi supply chain cyber risk management
+
Coperto da: Org.02 - Gestione Catena Fornitura ICT
+
Processo: Qualificazione, contrattualizzazione, monitoraggio fornitori
+
+ +
+
+
GV.SC-02
+
+ + + + +
+
+
+
Identificazione e prioritizzazione fornitori
+
Coperto da: Org.02 - Classificazione Fornitori (Tier 1/2/3)
+
Processo: Scoring e categorizzazione per criticità
+
+ +
+
+
GV.SC-04
+
+ + + + +
+
+
+
Valutazione e monitoraggio fornitori
+
Coperto da: Org.02 - Audit Fornitori e KPI
+
Processo: Audit annuali, KPI mensili/trimestrali, scoring
+
+ +
+
+
GV.SC-05
+
+ + + + +
+
+
+
Risposta a cambiamenti supply chain
+
Coperto da: Org.02 - Piano Continuità Fornitori
+
Processo: Scenari gestione crisi fornitore, backup provider
+
+ +
+
+
GV.SC-07
+
+ + + + +
+
+
+
Protezione informazioni sensibili condivise
+
Coperto da: Org.02 - Clausole Contrattuali + PR.DS-01/02
+
Processo: NDA, crittografia, controllo accessi
+
+
+
+ + +
+
+
+ REQUISITI IDENTIFICAZIONE (IDENTIFY) + ? +
+
HELP DELLA SEZIONE
+ I requisiti di Identificazione riguardano la conoscenza approfondita degli asset aziendali, dei sistemi, dei dati e dei rischi cyber. Include inventari completi, mappature di rete, analisi delle vulnerabilità e valutazione dei rischi. +
+ +
+
+
+
+
+
ID.AM-01
+
+ + + + +
+
+
+
Inventario asset fisici
+
Coperto da: Org.01 - Inventario Hardware
+
Processo: Censimento server, dispositivi, network equipment
+
+ +
+
+
ID.AM-02
+
+ + + + +
+
+
+
Inventario asset software e sistemi
+
Coperto da: Org.01 - Inventario Software, Cloud, Applicazioni
+
Processo: Catalogo licenze, versioni, dipendenze
+
+ +
+
+
ID.AM-03SOLO ESSENZIALI
+
+ + + + +
+
+
+
Diagrammi flussi dati e comunicazione
+
Coperto da: Org.01 - Diagrammi di Rete
+
Processo: Topologia, segmentazione, flussi critici
+
+ +
+
+
ID.AM-04
+
+ + + + +
+
+
+
Catalogo servizi erogati
+
Coperto da: Org.01 - Sezione Servizi Erogati
+
Processo: Elenco servizi, criticità, dipendenze, utenti
+
+ +
+
+
ID.RA-01
+
+ + + + +
+
+
+
Identificazione vulnerabilità e minacce
+
Coperto da: Org.05 - Fase 1 Risk Assessment
+
Processo: Vulnerability scanning, threat intelligence, analisi scenari
+
+ +
+
+
ID.RA-05
+
+ + + + +
+
+
+
Valutazione probabilità e impatto rischi
+
Coperto da: Org.05 - Fase 2 Analisi Rischi (matrice 4x4)
+
Processo: Scoring probabilità/impatto, matrice rischio
+
+ +
+
+
ID.RA-06
+
+ + + + +
+
+
+
Identificazione e prioritizzazione rischi
+
Coperto da: Org.05 - Classificazione e Prioritizzazione
+
Processo: Ranking rischi, prioritizzazione interventi
+
+ +
+
+
ID.RA-08
+
+ + + + +
+
+
+
Risposta ai rischi (trattamento)
+
Coperto da: Org.05 - Fase 4 Trattamento Rischi
+
Processo: Strategie mitigazione/trasferimento/accettazione/evitamento
+
+ +
+
+
ID.IM-01
+
+ + + + +
+
+
+
Gestione vulnerabilità
+
Coperto da: Org.06 - Processo Vulnerability Management
+
Processo: Scanning, assessment, prioritizzazione, patching
+
+ +
+
+
ID.IM-04
+
+ + + + +
+
+
+
Gestione patch e aggiornamenti
+
Coperto da: Org.06 - Processo Patch Management
+
Processo: Inventario patch, testing, deployment, verifica
+
+
+
+ + +
+
+
+ REQUISITI PROTEZIONE (PROTECT) + ? +
+
HELP DELLA SEZIONE
+ I requisiti di Protezione definiscono le misure tecniche e organizzative per salvaguardare sistemi e dati. Include gestione identità, formazione, crittografia, backup, piani di continuità e configurazioni sicure. +
+ +
+
+
+
+
+
PR.AA-01
+
+ + + + +
+
+
+
Gestione identità e autenticazione
+
Coperto da: Org.07 - Processo Identity & Access Management
+
Processo: Provisioning, autenticazione forte, gestione credenziali
+
+ +
+
+
PR.AA-03
+
+ + + + +
+
+
+
Autenticazione multi-fattore (MFA)
+
Coperto da: Org.07 - Implementazione MFA
+
Processo: MFA su sistemi rilevanti, VPN, accessi privilegiati
+
+ +
+
+
PR.AA-05
+
+ + + + +
+
+
+
Gestione accessi di rete
+
Coperto da: Org.08 - Network Access Control
+
Processo: Segmentazione, firewall, controllo accessi
+
+ +
+
+
PR.AA-06
+
+ + + + +
+
+
+
Gestione identità fisiche e credenziali
+
Coperto da: Org.09 - Controllo Accessi Fisici
+
Processo: Badge, videosorveglianza, registro accessi
+
+ +
+
+
PR.AT-01
+
+ + + + +
+
+
+
Formazione awareness generale
+
Coperto da: Org.04 - Formazione Tutti i Dipendenti
+
Processo: Corso iniziale 4h, aggiornamento 2h/anno, simulazioni phishing
+
+ +
+
+
PR.AT-02SOLO ESSENZIALI
+
+ + + + +
+
+
+
Formazione specialistica ruoli privilegiati
+
Coperto da: Org.04 - Formazione CISO e Team (≥16h/anno)
+
Processo: Corsi tecnici, certificazioni, training specialistico
+
+ +
+
+
PR.DS-01
+
+ + + + +
+
+
+
Protezione dati a riposo
+
Coperto da: Org.10 - Crittografia Dati
+
Processo: Encryption database, storage, backup
+
+ +
+
+
PR.DS-02
+
+ + + + +
+
+
+
Protezione dati in transito
+
Coperto da: Org.10 - Crittografia Comunicazioni
+
Processo: TLS/SSL, VPN, protocolli sicuri
+
+ +
+
+
PR.DS-11
+
+ + + + +
+
+
+
Backup e capacità di ripristino
+
Coperto da: Org.11 - Processo Backup e Restore
+
Processo: Backup sistemi rilevanti, test trimestrale, retention
+
+ +
+
+
PR.PS-01SOLO ESSENZIALI
+
+ + + + +
+
+
+
Business Continuity Plan
+
Coperto da: Org.12 - Piano Continuità Operativa
+
Processo: BCP documentato, test annuale, procedure escalation
+
+ +
+
+
PR.PS-02
+
+ + + + +
+
+
+
Disaster Recovery Plan
+
Coperto da: Org.13 - Piano Disaster Recovery
+
Processo: DR documentato, RTO/RPO, test semestrale (essenziali)/annuale (importanti)
+
+ +
+
+
PR.PS-03SOLO ESSENZIALI
+
+ + + + +
+
+
+
Incident Response Plan
+
Coperto da: Org.14 - Piano Gestione Incidenti
+
Processo: IRP documentato, team, procedure, esercitazioni
+
+ +
+
+
PR.PS-04
+
+ + + + +
+
+
+
Comunicazioni e operazioni coordinate
+
Coperto da: Org.15 - Protocollo Comunicazione Crisi
+
Processo: Escalation, comunicazione interna/esterna, coordinamento
+
+ +
+
+
PR.PS-06
+
+ + + + +
+
+
+
Configurazioni sicure (hardening)
+
Coperto da: Org.16 - Baseline Configurazioni Sicure
+
Processo: Hardening guide, CIS benchmarks, controllo configurazioni
+
+ +
+
+
PR.IR-01
+
+ + + + +
+
+
+
Reti e ambienti protetti
+
Coperto da: Org.08 - Architettura Rete Sicura
+
Processo: Segmentazione, DMZ, VLAN, micro-segmentation
+
+ +
+
+
PR.IR-03
+
+ + + + +
+
+
+
Configurazioni gestite e controllate
+
Coperto da: Org.17 - Configuration Management
+
Processo: CMDB, change management, baseline
+
+
+
+ + +
+
+
+ REQUISITI RILEVAZIONE (DETECT) + ? +
+
HELP DELLA SEZIONE
+ I requisiti di Rilevazione riguardano la capacità di identificare tempestivamente eventi e incidenti di sicurezza. Include monitoraggio continuo, analisi dei log, sistemi SIEM e capacità di threat detection. +
+ +
+
+
+
+
+
DE.CM-01SIEM OBBLIGATORIO
+
+ + + + +
+
+
+
Monitoraggio continuo reti e sistemi
+
Coperto da: Org.18 - Sistema Monitoraggio e SIEM
+
Processo: Monitoraggio 24/7, log management, alert
+
+ +
+
+
DE.CM-09
+
+ + + + +
+
+
+
Rilevazione incidenti di sicurezza
+
Coperto da: Org.18 - Incident Detection
+
Processo: Correlation rules, anomaly detection, threat hunting
+
+
+
+ + +
+
+
+ REQUISITI RISPOSTA E RIPRISTINO (RESPOND/RECOVER) + ? +
+
HELP DELLA SEZIONE
+ I requisiti di Risposta e Ripristino definiscono le azioni da intraprendere durante e dopo un incidente di sicurezza. Include contenimento, eradicazione, notifiche obbligatorie a CSIRT Italia, ripristino dei servizi e comunicazioni agli stakeholder. +
+ +
+
+
+
+
+
RS.MA-01
+
+ + + + +
+
+
+
Contenimento incidenti
+
Coperto da: Org.19 - Processo Incident Response - Contenimento
+
Processo: Isolamento, eradicazione, contenimento laterale
+
+ +
+
+
RS.CO-02
+
+ + + + +
+
+
+
Notifica incidenti a CSIRT Italia
+
Coperto da: Org.20 - Processo Notifiche CSIRT
+
Processo: Valutazione significatività, notifica 24h, report 72h e finale
+
+ +
+
+
RC.RP-01
+
+ + + + +
+
+
+
Ripristino sistemi e servizi
+
Coperto da: Org.21 - Processo Recovery
+
Processo: Ripristino da backup, validazione, ritorno operatività
+
+ +
+
+
RC.CO-03SOLO ESSENZIALI
+
+ + + + +
+
+
+
Comunicazione ripristino a stakeholder
+
Coperto da: Org.22 - Comunicazione Post-Incidente
+
Processo: Informativa clienti, tempistiche, misure adottate
+
+
+
+ + + +
+ + + + + \ No newline at end of file diff --git a/docs/nis2/doc-network-physical.html b/docs/nis2/doc-network-physical.html new file mode 100644 index 0000000..e41ec42 --- /dev/null +++ b/docs/nis2/doc-network-physical.html @@ -0,0 +1,450 @@ + + + + + + Diagramma Topologia Rete - NIS2 + + + +
+ +
+ +
+
+ ⚠️ DOCUMENTO RISERVATO - SOLO PERSONALE AUTORIZZATO ⚠️ +
+ +
+ +
Diagramma Topologia Rete Fisica
+
Versione 3.2 | Data: 15 Febbraio 2024 | Approvato da: CISO
+
Documento ID.AM-03 - Requisito NIS2 (Solo Soggetti Essenziali)
+
+ +
+
📋 Informazioni Documento
+ Codice: NET-TOPO-PHY-v3.2 | + Ultima Modifica: 15/02/2024 | + Prossima Revisione: 15/05/2024 | + Classificazione: RISERVATO +
+ +
+ +
+
🌐 INTERNET / ZONA ESTERNA
+
+
+
🌍
+
Internet
+
Pubblico
+
+
+
+ +
⬇️ Connessione Fibra 1Gbps
+ + +
+
🛡️ DMZ (DeMilitarized Zone)
+ +
+
+
🔥
+
Firewall Perimetrale
+
10.10.0.1
+
HW-NET-015
+
+ +
+
🌐
+
Web Server Pubblico
+
10.10.2.45
+
HW-SRV-023
+
+ +
+
📧
+
Mail Gateway
+
10.10.2.50
+
HW-SRV-028
+
+ +
+
🔐
+
VPN Gateway
+
10.10.2.60
+
HW-NET-018
+
+
+
+ +
⬇️ VLAN Segmentation
+ + +
+
🏢 RETE INTERNA
+ +
+
+
🔀
+
Core Switch
+
10.10.1.1
+
HW-NET-022
+
+ +
+
💻
+
Workstation (x150)
+
10.20.x.x
+
VLAN 20
+
+ +
+
🖨️
+
Stampanti
+
10.30.x.x
+
VLAN 30
+
+ +
+
📱
+
WiFi Guest
+
10.40.x.x
+
VLAN 40
+
+
+
+ +
⬇️ Firewall Interno
+ + +
+
🔒 DATACENTER / ZONA SICURA
+ +
+
+
🖥️
+
ERP Server
+
10.10.1.10
+
HW-SRV-001
+
+ +
+
💾
+
Database Server
+
10.10.1.20
+
HW-SRV-012
+
+ +
+
📊
+
SIEM Splunk
+
10.10.1.30
+
HW-SRV-045
+
+ +
+
💿
+
Backup Server
+
10.10.1.40
+
HW-SRV-050
+
+ +
+
☁️
+
VMware Cluster
+
10.10.1.50-55
+
HW-SRV-060
+
+ +
+
🔐
+
Active Directory
+
10.10.1.60
+
HW-SRV-065
+
+
+
+
+ +
+
📖 LEGENDA
+
+ + Zona Esterna (Internet) +
+
+ + DMZ (Servizi Esposti) +
+
+ + Rete Interna (Utenti) +
+
+ + Datacenter (Sistemi Critici) +
+
+ +
+
🔐 Note di Sicurezza
+ • Tutti i flussi tra zone sono controllati da firewall con regole whitelist
+ • Monitoraggio 24/7 tramite SIEM centralizzato (Splunk)
+ • Segmentazione VLAN per separazione logica dei servizi
+ • Backup giornaliero con replica off-site
+ • Accesso datacenter con autenticazione biometrica e logging
+ • Aggiornamento obbligatorio entro 5 giorni da modifiche infrastrutturali +
+ +
+ Documento NET-TOPO-PHY-v3.2 - RISERVATO - Pagina 1 di 1 +
+
+ + diff --git a/docs/nis2/doc-relevant-systems.html b/docs/nis2/doc-relevant-systems.html new file mode 100644 index 0000000..b727d92 --- /dev/null +++ b/docs/nis2/doc-relevant-systems.html @@ -0,0 +1,482 @@ + + + + + + Documento Formale - Sistemi Rilevanti NIS2 + + + +
+ +
+ +
+
+ ⚠️ DOCUMENTO RISERVATO - DISTRIBUZIONE LIMITATA ⚠️ +
+ +
+ +
Elenco Sistemi Rilevanti NIS2
+
Documento Formale ai sensi della Direttiva (UE) 2022/2555
+
Requisito GV.OC-04
+
+ +
+
+ Codice Documento: NIS2-GV-OC-04-v2.3 +
+
+ Data Emissione: 15 Febbraio 2024 +
+
+ Versione: 2.3 +
+
+ Prossima Revisione: 15 Agosto 2024 +
+
+ Redatto da: CISO - Marco Bianchi +
+
+ Approvato da: CdA - Delibera 05/2024 +
+
+ +
+
1. PREMESSA
+
+ Il presente documento costituisce l'elenco formale dei sistemi classificati come rilevanti ai fini della conformità alla Direttiva NIS2 (UE) 2022/2555 e al relativo decreto di recepimento nazionale. La classificazione è stata effettuata secondo la metodologia di scoring approvata dal Consiglio di Amministrazione in data 10 Gennaio 2024, basata su sei criteri di valutazione con punteggio massimo di 100 punti. +
+
+ Soglia di Rilevanza: Sono considerati rilevanti tutti i sistemi con punteggio ≥ 40 punti.
+ Sistemi Critici: Sistemi con punteggio ≥ 80 punti richiedono misure di sicurezza massime e monitoraggio continuo 24/7. +
+
+ +
+
2. RIEPILOGO STATISTICO
+
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CategoriaRange PunteggioNumero SistemiPercentuale
CRITICO80-1001231.6%
ALTO60-791539.5%
MEDIO40-591128.9%
TOTALE RILEVANTI≥4038100%
+
+
+ +
+
3. ELENCO SISTEMI CRITICI (≥80 PUNTI)
+
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceNome SistemaTipoPunteggioRTO/RPOMonitoraggio
SW-ERP-001SAP ERPSoftware954h / 1h24/7
SVC-001Piattaforma ERP CloudServizio944h / 1h24/7
SW-SEC-008Splunk SIEMSoftware924h / 4h24/7
HW-SRV-001ERP-PROD-01Hardware914h / 1h24/7
SW-DB-003Oracle DatabaseSoftware894h / 1h24/7
HW-NET-015FW-PERIMETRALE-01Hardware881h / N/A24/7
SVC-002Hosting ApplicazioniServizio888h / 4h24/7
CLD-IAAS-001VM Production AWSCloud874h / 1h24/7
CLD-PAAS-003Azure SQL DatabaseCloud854h / 1h24/7
HW-NET-022Core Switch DatacenterHardware842h / N/A24/7
SW-BACKUP-001Veeam Backup SystemSoftware8224h / 24h24/7
HW-SRV-012DB-PROD-01Hardware804h / 1h24/7
+
+
+ +
+
4. MISURE DI SICUREZZA OBBLIGATORIE
+
+ Per tutti i sistemi rilevanti sono implementate le seguenti misure minime di sicurezza: +
    +
  • Backup giornaliero con retention minima 30 giorni
    • +
  • Patch management con SLA massimo 30 giorni per vulnerabilità critiche
    • +
  • Logging centralizzato su SIEM con retention 12 mesi
    • +
  • Controllo accessi con autenticazione multi-fattore (MFA)
    • +
  • Monitoraggio continuo con alerting automatico
    • +
  • Business Continuity Plan e Disaster Recovery Plan documentati e testati
    • +
+
+
+ Sistemi Critici (≥80): Oltre alle misure sopra elencate, richiedono ridondanza hardware/software, monitoraggio 24/7 con reperibilità H24, test DR semestrali e revisione trimestrale delle configurazioni di sicurezza. +
+
+ +
+
5. REVISIONE E AGGIORNAMENTO
+
+ Il presente documento è soggetto a revisione semestrale obbligatoria. Revisioni straordinarie sono richieste in caso di: +
    +
  • Introduzione di nuovi sistemi con punteggio ≥40
    • +
  • Modifiche sostanziali ai sistemi esistenti che ne alterano il punteggio
    • +
  • Incidenti di sicurezza significativi
    • +
  • Cambiamenti normativi rilevanti
    • +
+
+
+ +
+
APPROVAZIONE
+
+ Il presente documento è stato approvato dal Consiglio di Amministrazione in data 15 Febbraio 2024 con Delibera n. 05/2024 e costituisce documento ufficiale ai fini della conformità NIS2. +
+ +
+
+
+ Marco Bianchi
+ Chief Information Security Officer (CISO) +
+
+
+
+ Giovanni Rossi
+ Amministratore Delegato +
+
+
+
+ +
+ Pagina 1 di 1 - Documento NIS2-GV-OC-04-v2.3 - RISERVATO +
+
+ + diff --git a/docs/nis2/incidente_r01/incident-dashboard.html b/docs/nis2/incidente_r01/incident-dashboard.html new file mode 100644 index 0000000..bb7684f --- /dev/null +++ b/docs/nis2/incidente_r01/incident-dashboard.html @@ -0,0 +1,1402 @@ + + + + + + Dashboard Gestione Incidenti - NIS2 + + + +
+
+
+

Gestione Incidenti, Ripristino e Comunicazioni

+
+ Dashboard NIS2 / Org.10 - Gestione Incidenti +
+
+
+ Soggetto Importante + + +
+
+
+ +
+ + + + +
+
+
Incidenti Totali
+
47
+
Ultimi 12 mesi
+
+
+
Incidenti Attivi
+
3
+
In gestione ora
+
+
+
Notifiche CSIRT
+
12
+
Incidenti significativi
+
+
+
TTD Medio
+
2.4h
+
Time to Detect
+
+
+
TTC Medio
+
3.8h
+
Time to Contain
+
+
+
Conformità Notifiche
+
100%
+
Entro 24h (preallarme)
+
+
+ + +
+ +
🚨
+
Segnala Incidente
+
Apri un nuovo ticket di incidente di sicurezza
+ + + +
📡
+
Notifiche CSIRT
+
Gestisci comunicazioni al CSIRT Italia
+ + + +
🔄
+
Ripristino Servizi
+
Processi di recovery e validazione
+ + + +
📊
+
Post-Incident Review
+
Lesson learned e miglioramento continuo
+ +
+ + +
+ + + + + +
+ + +
+
+
+ Incidenti Attivi + ? +
+
HELP DELLA SEZIONE
+ Incidenti attualmente in gestione (stato: Rilevato, In triage, Contenuto, In eradicazione, In ripristino). Richiede monitoraggio e azioni attive dal team incident response. +
+ +
+
+ +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceData/OraDescrizioneSeveritàClassificazioneStatoResponsabileNotifica CSIRTAzioni
INC-2024-0472024-03-06 08:15Tentativo ransomware bloccato su server ERPSEV-1IS-2ContenutoCISO✅ Preallarme inviato + +
INC-2024-0462024-03-05 14:32Accesso non autorizzato account privilegiatoSEV-2IS-2In eradicazioneSOC Lead✅ Notifica completa + +
INC-2024-0452024-03-04 10:20DDoS su servizio web pubblicoSEV-2IS-1In ripristinoNetwork Manager✅ Notifica completa + +
+
+
+ + +
+
+
+ Tutti gli Incidenti + ? +
+
HELP DELLA SEZIONE
+ Registro completo di tutti gli incidenti di sicurezza rilevati, inclusi quelli chiusi e in post-analisi. Filtrabili per periodo, severità, classificazione e stato. +
+ +
+
+ +
+
+ Periodo: + + - + +
+
+ Severità: + +
+
+ Classificazione: + +
+
+ Stato: + +
+
+ Cerca: + +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceData/OraDescrizioneSeveritàClassificazioneStatoTTDTTCTTRNotifica CSIRTAzioni
INC-2024-0472024-03-06 08:15Tentativo ransomware bloccato su server ERPSEV-1IS-2Contenuto0.5h2.2h-✅ Preallarme
INC-2024-0462024-03-05 14:32Accesso non autorizzato account privilegiatoSEV-2IS-2In eradicazione1.2h3.5h-✅ Completa
INC-2024-0452024-03-04 10:20DDoS su servizio web pubblicoSEV-2IS-1In ripristino0.3h4.1h-✅ Completa
INC-2024-0442024-02-28 16:45Phishing mirato a utenti amministrativiSEV-3Non significativoChiuso2.1h5.3h8.2h❌ Non richiesta
INC-2024-0432024-02-25 09:12Malware rilevato su endpoint utenteSEV-4Non significativoChiuso0.1h0.5h1.2h❌ Non richiesta
+
+
+ + +
+
+
+ Incidenti Notificati al CSIRT Italia + ? +
+
HELP DELLA SEZIONE
+ Incidenti significativi per i quali è stata effettuata notifica obbligatoria al CSIRT Italia secondo D.Lgs. 138/2024. Include tracking di preallarme (24h), notifica completa (72h) e relazione finale (1 mese). +
+ +
+
+ +
+
+ +
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Codice IncidenteData IncidenteClassificazionePreallarme (24h)Notifica Completa (72h)Relazione Finale (1 mese)Stato ConformitàAzioni
INC-2024-0472024-03-06 08:15IS-2✅ 2024-03-06 14:30
Entro termine		⏳ Scadenza: 2024-03-09 08:15⏳ Scadenza: 2024-04-09In corso + +
INC-2024-0462024-03-05 14:32IS-2✅ 2024-03-06 09:15
Entro termine		✅ 2024-03-07 16:20
Entro termine		⏳ Scadenza: 2024-04-07In corso + +
INC-2024-0452024-03-04 10:20IS-1✅ 2024-03-04 18:45
Entro termine		✅ 2024-03-06 11:30
Entro termine		⏳ Scadenza: 2024-04-06In corso + +
INC-2024-0382024-02-15 11:30IS-1✅ 2024-02-15 20:15✅ 2024-02-17 09:45✅ 2024-03-18 14:00
Completata		Completato + +
+
+
+ + +
+
+
+ Timeline Attività Recenti + ? +
+
HELP DELLA SEZIONE
+ Cronologia delle attività più recenti relative alla gestione incidenti: nuovi incidenti, escalation, notifiche, chiusure, PIR completate. +
+ +
+
+ +
+
+
2024-03-06 14:30
+
+ Preallarme CSIRT inviato per incidente INC-2024-047 (Ransomware)
+ Notifica inviata entro 24h come richiesto +
+
+ +
+
2024-03-06 10:45
+
+ Incidente contenuto - INC-2024-047
+ Server isolato, malware bloccato, nessuna crittografia dati +
+
+ +
+
2024-03-06 08:15
+
+ Nuovo incidente SEV-1 - INC-2024-047
+ Tentativo ransomware rilevato da EDR su server ERP +
+
+ +
+
2024-03-06 09:15
+
+ Preallarme CSIRT inviato per incidente INC-2024-046
+ Accesso non autorizzato account privilegiato +
+
+ +
+
2024-03-05 14:32
+
+ Nuovo incidente SEV-2 - INC-2024-046
+ Rilevato accesso anomalo su account amministratore di dominio +
+
+ +
+
2024-03-04 18:45
+
+ Preallarme CSIRT inviato per incidente INC-2024-045
+ DDoS su servizio web pubblico +
+
+ +
+
2024-03-03 15:20
+
+ Post-Incident Review completata - INC-2024-042
+ Identificate 5 azioni correttive, tutte assegnate +
+
+ +
+
2024-03-01 11:00
+
+ Incidente chiuso - INC-2024-041
+ Ripristino completato, servizi operativi, PIR pianificata +
+
+
+
+ + +
+
+
+ KPI e Metriche Org.10 + ? +
+
HELP DELLA SEZIONE
+ Key Performance Indicators per la gestione incidenti secondo procedura Org.10. Monitoraggio trimestrale con target definiti. +
+ +
+
+ +
+
+ +
+
+
TTD Medio (Time to Detect)
+
2.4h
+
Trend: ↓ -15% vs trimestre precedente
+
+ +
+
TTC Medio SEV-1 (Time to Contain)
+
0.8h
+
Target: <1h ✅ Raggiunto +
+ +
+
TTC Medio SEV-2 (Time to Contain)
+
3.2h
+
Target: <4h ✅ Raggiunto
+
+ +
+
TTR Medio (Time to Recover)
+
6.5h
+
Conforme a RTO dichiarati
+
+ +
+
Preallarme CSIRT entro 24h
+
100%
+
12/12 incidenti significativi
+
+ +
+
Notifica Completa entro 72h
+
100%
+
Target: 100% ✅
+
+ +
+
Relazione Finale entro 1 mese
+
100%
+
9/9 completate nei tempi
+
+ +
+
Post-Incident Review completate
+
100%
+
Entro 2 settimane (SEV-1/2)
+
+ +
+
Azioni Correttive chiuse
+
94%
+
Target: ≥90% ✅
+
+ +
+
Incidenti Ricorrenti
+
0
+
Stessa root cause - Target: 0 ✅
+
+ +
+
Esercitazioni Annuali
+
2
+
Target: ≥1 ✅ Superato
+
+ +
+
Costo Medio Incidente
+
€8.5K
+
Diretto + indiretto stimato
+
+
+ +
+

Distribuzione Incidenti per Severità (Ultimi 12 mesi)

+
+
+
SEV-1 Critico
+
4
+
8.5% del totale
+
+
+
SEV-2 Alto
+
8
+
17.0% del totale
+
+
+
SEV-3 Medio
+
18
+
38.3% del totale
+
+
+
SEV-4 Basso
+
17
+
36.2% del totale
+
+
+
+ +
+

Distribuzione per Classificazione NIS2

+
+
+
IS-1 Impatto Servizi
+
5
+
Notificati al CSIRT
+
+
+
IS-2 Impatto Dati
+
6
+
Notificati al CSIRT
+
+
+
IS-3 Impatto Supply Chain
+
1
+
Notificati al CSIRT
+
+ +
+
Non Significativi
+
35
+
Gestione interna
+
+
+
+
+
+ + + + diff --git a/docs/nis2/incidente_r01/incident-detail.html b/docs/nis2/incidente_r01/incident-detail.html new file mode 100644 index 0000000..e5255e0 --- /dev/null +++ b/docs/nis2/incidente_r01/incident-detail.html @@ -0,0 +1,1805 @@ + + + + + + Dettaglio Incidente INC-2024-047 - NIS2 + + + +
+
+
+

+ SEV-1 + INC-2024-047 - Tentativo Ransomware +

+
+ Dashboard NIS2 / + Gestione Incidenti / + INC-2024-047 +
+
+
+ + + + +
+
+
+ +
+ +
+
+ ⏰ Scadenza Notifica CSIRT +
+
+ Preallarme da inviare entro: 2024-03-07 08:15 (rimangono 18 ore)
+ Notifica completa da inviare entro: 2024-03-09 08:15 (72 ore)
+ +
+
+ + +
+
+
Data/Ora Rilevazione
+
2024-03-06 08:15
+
+
+
Stato Attuale
+
Contenuto
+
+
+
Severità
+
SEV-1 Critico
+
+
+
Classificazione NIS2
+
IS-2
+
+
+
Responsabile
+
CISO
+
+
+
Team Attivo
+
Crisis Team
+
+
+ + +
+
+
+
Rilevazione
+
+
+
+
Triage
+
+
+
3
+
Contenimento
+
+
+
4
+
Eradicazione
+
+
+
5
+
Ripristino
+
+
+
6
+
Lesson Learned
+
+
+ + +
+
+
TTD (Time to Detect)
+
0.5h
+
+
+
TTC (Time to Contain)
+
2.2h
+
+
+
Tempo Gestione
+
26h 45m
+
+
+
Sistemi Impattati
+
3
+
+
+
Utenti Impattati
+
45
+
+
+
Azioni Registrate
+
18
+
+
+ + +
+ + + + + + +
+ + +
+
+
+ Panoramica Incidente + ? +
+
HELP DELLA SEZIONE
+ Riepilogo completo dell'incidente con informazioni chiave, classificazione, impatto e stato corrente della gestione. +
+ +
+
+ +

Descrizione

+

+ Alle ore 08:15 del 06/03/2024, l'EDR ha rilevato un tentativo di esecuzione di ransomware sul server ERP-PROD-01 (HW-SRV-001). + Il malware è stato identificato come variante di BlackCat/ALPHV. L'EDR ha bloccato automaticamente l'esecuzione + e messo in quarantena il file malevolo. Il server è stato immediatamente isolato dalla rete come misura precauzionale. +

+ L'analisi preliminare indica che il vettore di ingresso è stato un allegato email di phishing ricevuto da un account utente + amministrativo. Le credenziali dell'utente erano state precedentemente compromesse in un attacco di credential stuffing. +

+ +

Classificazione e Impatto

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
ParametroValore
SeveritàSEV-1 Critico
Classificazione NIS2IS-2 - Impatto su integrità/riservatezza dati
Categoria MITRE ATT&CKImpact (Ransomware)
Vettore di AttaccoPhishing → Credential Compromise → Ransomware
Impatto + Disponibilità + Integrità +
Root CauseCredenziali compromesse + Phishing
Notifica CSIRT⏳ Preallarme da inviare
Notifica Garante Privacy❌ Non richiesta (nessun dato esfiltrato)
+ +

Sistemi e Servizi Impattati

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Codice AssetTipoNomeStatoAzioni
HW-SRV-001Server FisicoERP-PROD-01🔒 IsolatoSistema primario compromesso
SW-ERP-001ApplicazioneSAP ERP⏸️ OfflineServizio interrotto preventivamente
HW-SRV-002Server BackupERP-BACKUP-01✅ IntegroBackup immutabile verificato
+
+ + +
+
+
+ Timeline Completa Azioni + ? +
+
HELP DELLA SEZIONE
+ Registro cronologico completo di tutte le azioni effettuate durante la gestione dell'incidente. Ogni azione è tracciata con timestamp, responsabile e dettagli. +
+ +
+ +
+ +
+
+
2024-03-06 08:15:23
+
+ 🚨 INCIDENTE RILEVATO
+ EDR ha rilevato tentativo esecuzione ransomware BlackCat/ALPHV su server ERP-PROD-01. + File malevolo bloccato e messo in quarantena automaticamente. +
+
Sistema EDR (Automatico)
+
+ +
+
2024-03-06 08:17:45
+
+ Alert SOC
+ Analista SOC riceve alert critico e avvia procedura incident response SEV-1. +
+
Analista SOC - M. Bianchi
+
+ +
+
2024-03-06 08:22:10
+
+ CONTENIMENTO IMMEDIATO
+ Server ERP-PROD-01 isolato dalla rete. Tutte le connessioni di rete disabilitate. + Servizio ERP offline preventivamente. +
+
System Admin - G. Rossi
+
+ +
+
2024-03-06 08:25:00
+
+ Escalation Crisis Team
+ CISO notificato. Crisis Team attivato. Convocata call di emergenza. +
+
SOC Lead - L. Verdi
+
+ +
+
2024-03-06 08:35:12
+
+ Preservazione Evidenze
+ Creato snapshot completo del server. Dump memoria RAM acquisito. + Log di sistema e EDR copiati su storage forense. +
+
Forensics Team - A. Neri
+
+ +
+
2024-03-06 09:10:30
+
+ Analisi Vettore di Attacco
+ Identificato vettore: email phishing ricevuta da utente admin (m.ferrari@azienda.it) + alle 07:45. Allegato ZIP contenente payload ransomware. Credenziali utente compromesse + in precedente attacco credential stuffing (non rilevato). +
+
CISO - P. Lombardi
+
+ +
+
2024-03-06 09:30:00
+
+ Blocco Account Compromesso
+ Account m.ferrari@azienda.it disabilitato. Tutte le sessioni attive revocate. + Reset password forzato. MFA abilitato obbligatoriamente. +
+
System Admin - G. Rossi
+
+ +
+
2024-03-06 10:15:00
+
+ Verifica Estensione Compromissione
+ Scansione completa rete aziendale. Nessun altro sistema compromesso rilevato. + Malware non si è propagato. Contenimento efficace. +
+
SOC Team
+
+ +
+
2024-03-06 10:45:00
+
+ ✅ CONTENIMENTO CONFERMATO
+ Minaccia contenuta con successo. Nessuna crittografia dati avvenuta. + Nessuna esfiltrazione rilevata. Incidente limitato a singolo server. +
TTC (Time to Contain): 2.2 ore +
+
CISO - P. Lombardi
+
+ +
+
2024-03-06 11:30:00
+
+ Comunicazione Interna
+ Direzione informata. Responsabili Divisione notificati. + Comunicazione a utenti: servizio ERP temporaneamente offline per manutenzione straordinaria. +
+
CISO - P. Lombardi
+
+ +
+
2024-03-06 14:30:00
+
+ 📡 Preallarme CSIRT Preparato
+ Documentazione preallarme CSIRT Italia completata. In attesa approvazione Direzione per invio. +
+
CISO - P. Lombardi
+
+ +
+
2024-03-06 16:00:00
+
+ Analisi Forense Preliminare
+ Identificato malware: BlackCat/ALPHV variant 2.0. + IoC estratti e condivisi con CSIRT. Nessun dato esfiltrato confermato. + Tentativo crittografia bloccato in fase iniziale. +
+
Forensics Team - A. Neri
+
+ +
+
2024-03-07 09:00:00
+
+ Inizio Eradicazione
+ Avviata rimozione completa malware. Pulizia sistema. Verifica assenza persistenza. + Pianificazione ripristino da backup immutabile. +
+
System Admin - G. Rossi
+
+
+
+ + +
+
+
+ Sistemi e Dati Impattati + ? +
+
HELP DELLA SEZIONE
+ Dettaglio completo di tutti i sistemi, asset, dati e servizi coinvolti nell'incidente. Include valutazione impatto e stato corrente. +
+ +
+
+ +

Asset Impattati

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CodiceTipoNome/DescrizioneRilevanza NIS2PunteggioStatoImpatto
HW-SRV-001Server FisicoERP-PROD-01 - Server ERP PrincipaleSI91🔒 IsolatoCompromissione tentata, bloccata da EDR
SW-ERP-001ApplicazioneSAP ERP Sistema GestionaleSI88⏸️ OfflineServizio interrotto preventivamente
ACC-ADMIN-042Account Utentem.ferrari@azienda.it (Admin)--🚫 DisabilitatoCredenziali compromesse, vettore iniziale
+ +

Dati Coinvolti

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Tipologia DatiClassificazioneVolume StimatoStatoNote
Dati Aziendali ERPCritico~2.5 TB✅ IntegriNessuna crittografia avvenuta, backup verificato
Dati Personali DipendentiRiservato~450 record✅ IntegriNessuna esfiltrazione rilevata
Credenziali UtenteRiservato1 account❌ CompromessoAccount disabilitato, password reset forzato
+ +

Servizi Impattati

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Codice ServizioNome ServizioRilevanza NIS2StatoUtenti ImpattatiDowntime
SRV-ERP-001Sistema Gestionale ERPSI⏸️ Offline45 utenti interni26h 45m (in corso)
SRV-FIN-001Modulo FinanziarioSI⏸️ Offline12 utenti interni26h 45m (in corso)
+
+ + +
+
+
+ Azioni di Contenimento ed Eradicazione + ? +
+
HELP DELLA SEZIONE
+ Documentazione completa delle azioni di contenimento immediato e eradicazione della minaccia. Include checklist, evidenze e verifiche effettuate. +
+ +
+
+ +
+
✅ Contenimento Completato
+
+ Minaccia contenuta con successo in 2.2 ore dalla rilevazione. + Nessuna crittografia dati avvenuta. Nessuna esfiltrazione rilevata. + Incidente limitato a singolo server. Attualmente in fase di eradicazione. +
+
+ +

Checklist Contenimento Immediato

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
StatoAzioneTimestampResponsabileNote
Sistema compromesso isolato dalla rete2024-03-06 08:22G. RossiTutte le interfacce di rete disabilitate
Account compromessi bloccati2024-03-06 09:30G. RossiAccount m.ferrari@azienda.it disabilitato
IP/domini malevoli bloccati su firewall2024-03-06 09:45L. Verdi3 IP C2 bloccati, 2 domini in blacklist
Evidenze preservate2024-03-06 08:35A. NeriSnapshot, dump RAM, log acquisiti
Monitoraggio intensivo attivato2024-03-06 10:00SOC TeamScansione completa rete, nessun altro sistema compromesso
Crisis Team notificato2024-03-06 08:25L. VerdiCall emergenza convocata, CISO e Direzione informati
Direzione informata2024-03-06 11:30P. LombardiReport completo fornito a CdA
+ +

Eradicazione in Corso

+
+
+
2024-03-07 09:00
+
System Admin - G. Rossi
+
+
+ Rimozione Malware
+ File malevolo rimosso da quarantena EDR. Scansione completa filesystem con 3 antimalware diversi. + Nessun residuo rilevato. Verifica hash file sistema contro baseline. +
+
+ +
+
+
2024-03-07 11:30
+
Forensics Team - A. Neri
+
+
+ Verifica Assenza Persistenza
+ Analisi chiavi registro, task schedulati, servizi, startup. Nessun meccanismo di persistenza rilevato. + Malware non ha avuto tempo di installarsi prima del blocco EDR. +
+
+ +
+
+
2024-03-07 14:00
+
System Admin - G. Rossi
+
+
+ Hardening Sistema
+ Applicati ultimi security patch. Configurazione hardened secondo baseline CIS. + Disabilitati protocolli legacy. Abilitato logging avanzato. + Configurazione EDR rafforzata con regole custom anti-ransomware. +
+
+ +
+
⏳ Prossima Fase: Ripristino
+
+ Completata eradicazione. Sistema pronto per ripristino. + Pianificato ripristino da backup immutabile verificato. +

+ +
+
+
+ + +
+
+
+ Comunicazioni e Notifiche + ? +
+
HELP DELLA SEZIONE
+ Registro completo di tutte le comunicazioni effettuate: interne, CSIRT, Garante Privacy, utenti, fornitori. Include tracking scadenze notifiche obbligatorie. +
+ +
+ +
+ +

Notifiche Obbligatorie

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
DestinatarioTipo NotificaScadenzaStatoAzioni
CSIRT ItaliaPreallarme (24h)2024-03-07 08:15⏳ Da inviare (18h rimaste) + +
CSIRT ItaliaNotifica Completa (72h)2024-03-09 08:15⏸️ In attesa preallarme-
CSIRT ItaliaRelazione Finale (1 mese)2024-04-09⏸️ In attesa notifica completa-
Garante PrivacyData Breach (72h)-✅ Non richiestaNessun dato personale esfiltrato
+ +

Comunicazioni Interne

+
+
+
2024-03-06 08:25
+
CISO → Crisis Team
+
+
+ Attivazione Crisis Team
+ Email + call di emergenza. Convocati: CISO, Direzione, Responsabili IT, Legale, Comunicazione. + Briefing situazione e attivazione procedura SEV-1. +
+
+ +
+
+
2024-03-06 11:30
+
CISO → Direzione
+
+
+ Report Direzione
+ Report completo incidente fornito a CdA. Situazione sotto controllo, minaccia contenuta, + nessun danno permanente. Servizio ERP offline preventivamente, ripristino pianificato entro 48h. +
+
+ +
+
+
2024-03-06 12:00
+
Comunicazione → Utenti Interni
+
+
+ Comunicazione Utenti
+ Email a tutti gli utenti ERP: "Servizio ERP temporaneamente offline per manutenzione straordinaria urgente. + Previsto ripristino entro 48 ore. Ci scusiamo per il disagio." +
+
+ +

Comunicazioni Esterne

+

+ Nessuna comunicazione esterna necessaria. Incidente contenuto internamente senza impatto su clienti o partner. +

+
+ + +
+
+
+ Evidenze e Documentazione Forense + ? +
+
HELP DELLA SEZIONE
+ Raccolta e catalogazione di tutte le evidenze forensi acquisite durante l'incidente. Include file, log, snapshot, IoC e analisi tecniche. +
+ +
+
+ +

Evidenze Acquisite

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Tipo EvidenzaDescrizioneData/Ora AcquisizioneHash SHA-256DimensioneAzioni
Snapshot VMSnapshot completo server ERP-PROD-012024-03-06 08:35a3f5...8d2c2.5 TB
Memory DumpDump RAM completo2024-03-06 08:40b7e2...4f1a32 GB
Malware SampleFile ransomware in quarantena2024-03-06 08:15c9d4...7e3b2.4 MB
Log EDRLog completi EDR 06/03 07:00-10:002024-03-06 10:00d1a8...9c5f450 MB
Log SistemaEvent Log Windows ERP-PROD-012024-03-06 10:00e2b9...1d6a120 MB
Email PhishingEmail originale con allegato malevolo2024-03-06 09:15f3c1...2e7d3.2 MB
+ +

Indicatori di Compromissione (IoC)

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
Tipo IoCValoreDescrizioneAzioni
File Hashc9d4a7e3b2f1...Hash SHA-256 file ransomware
IP C2185.220.101.47Server Command & Control
IP C291.219.236.232Server Command & Control (backup)
Dominioblackcat-ransom[.]onionPortale pagamento riscatto
Emailinvoice@fake-supplier[.]comMittente email phishing
+ +

Analisi Forense

+
+
+
2024-03-06 16:00
+
Forensics Team - A. Neri
+
+
+ Report Analisi Malware
+ Famiglia: BlackCat/ALPHV
+ Variante: 2.0 (Rust-based)
+ Comportamento: Ransomware con doppia estorsione (crittografia + esfiltrazione)
+ Vettore: Dropper via email phishing
+ Persistenza: Non installata (bloccato in fase iniziale)
+ Comunicazione C2: Tentata ma bloccata da firewall
+ Crittografia: Non avvenuta (EDR ha bloccato prima dell'esecuzione)
+ Esfiltrazione: Non rilevata
+
+ Conclusione: Attacco bloccato in fase molto precoce. Nessun danno effettivo. + EDR efficace nel contenimento. Credenziali compromesse erano il punto debole. +
+
+ +
+
📤 Condivisione IoC
+
+ Gli indicatori di compromissione sono stati condivisi con CSIRT Italia per supportare + la threat intelligence nazionale. IoC inseriti in blacklist firewall e SIEM. +
+
+
+
+ + + + diff --git a/docs/nis2/incidente_r01/incident-gate.html b/docs/nis2/incidente_r01/incident-gate.html new file mode 100644 index 0000000..dfadb7d --- /dev/null +++ b/docs/nis2/incidente_r01/incident-gate.html @@ -0,0 +1,353 @@ + + + + + + Accesso Sistema Gestione Incidenti - NIS2 + + + +
+
+

Sistema Gestione Incidenti NIS2

+

Seleziona la tipologia del tuo soggetto per accedere alle funzionalità appropriate

+
+ +
+
+ ⚠️ + Accesso Obbligatorio +
+
+ La conformità alla gestione incidenti è obbligatoria per TUTTI i soggetti NIS2 (essenziali e importanti). La differenza sta nei tipi di incidenti da segnalare e nelle tempistiche, come definito negli Allegati 3 (soggetti essenziali) e 4 (soggetti importanti) della Determina 164179/2025. +

+ Seleziona la categoria corretta per visualizzare solo i requisiti applicabili alla tua organizzazione. +
+
+ +
+
+ Soggetto Importante +

Soggetto Importante

+

+ Organizzazioni che rientrano nella categoria "importanti" secondo il D.Lgs. 138/2024, con obblighi di notifica per incidenti significativi secondo Allegato 4. +

+
    +
  • Notifica incidenti IS-1, IS-2, IS-3
    • +
  • Preallarme entro 24 ore
    • +
  • Notifica completa entro 72 ore
    • +
  • Relazione finale entro 1 mese
    • +
  • Gestione incidenti ricorrenti (IS-4) non obbligatoria
    • +
+ +
+ +
+ Soggetto Essenziale +

Soggetto Essenziale

+

+ Organizzazioni che rientrano nella categoria "essenziali" secondo il D.Lgs. 138/2024, con obblighi estesi di notifica per incidenti significativi secondo Allegato 3. +

+
    +
  • Notifica incidenti IS-1, IS-2, IS-3, IS-4
    • +
  • Preallarme entro 24 ore
    • +
  • Notifica completa entro 72 ore
    • +
  • Relazione finale entro 1 mese
    • +
  • Gestione incidenti ricorrenti (IS-4) obbligatoria
    • +
  • Monitoraggio 24/7 richiesto
    • +
+ +
+
+ +
+ Riferimenti normativi: D.Lgs. 138/2024 (Direttiva NIS2), Determina ACN 164179/2025 (Allegati 3 e 4)
+ Requisiti NIS2 coperti: RS.MA-01 (Gestione Incidenti), RS.CO-02 (Notifiche), RC.RP-01 (Ripristino), RC.CO-03 (Comunicazioni) +
+
+ + + + diff --git a/docs/nis2/incidente_r01/incident-new.html b/docs/nis2/incidente_r01/incident-new.html new file mode 100644 index 0000000..881e403 --- /dev/null +++ b/docs/nis2/incidente_r01/incident-new.html @@ -0,0 +1,956 @@ + + + + + + Nuovo Incidente - NIS2 Management System + + + +
+
+
+

🚨 Segnalazione Nuovo Incidente

+
+ Dashboard NIS2 / + Gestione Incidenti / + Nuovo Incidente +
+
+ ← Annulla +
+
+ +
+
+
⚠️ Procedura di Emergenza
+
+ Per incidenti SEV-1 (Critici): attivare immediatamente il Crisis Team e il CISO. + La notifica al CSIRT Italia (preallarme) deve essere effettuata entro 24 ore dalla conoscenza dell'incidente significativo. +
+
+ +
+ +
+
+ Fase 1: Rilevazione e Segnalazione + ? +
+
HELP DELLA SEZIONE
+ Registrazione iniziale dell'incidente. Compilare entro 15 minuti dalla rilevazione per incidenti critici. Tutte le informazioni possono essere aggiornate durante la gestione. +
+ +
+ +
+
+ + +
Momento in cui l'incidente è stato rilevato
+
+ +
+ + +
+ +
+ + +
+ +
+ + +
Fornire tutti i dettagli disponibili: cosa è stato rilevato, su quali sistemi, sintomi osservati
+
+ +
+ + +
Codici asset da inventario (Org.01). Separare con virgola se multipli
+
+
+
+ + +
+
+ Fase 2: Triage e Classificazione + ? +
+
HELP DELLA SEZIONE
+ Determinazione della severità e classificazione secondo NIS2. Completare entro 1 ora per SEV-1/SEV-2. La classificazione determina gli obblighi di notifica al CSIRT. +
+ +
+ +
+ +
+
+
SEV-1
+
CRITICO
+
+
+
SEV-2
+
ALTO
+
+
+
SEV-3
+
MEDIO
+
+
+
SEV-4
+
BASSO
+
+
+ +
+
+ + + +
+
+ + +
+
+ +
+ + +
Tenere premuto Ctrl/Cmd per selezione multipla
+
+ +
+ + +
+ +
+ + +
+
+ + +
+ + +
+
+ Dati e Servizi Impattati + ? +
+
HELP DELLA SEZIONE
+ Identificazione dei dati e servizi coinvolti nell'incidente. Fondamentale per valutare obblighi GDPR e impatto operativo. +
+ +
+ +
+
+ + +
+ + + +
+ + +
Elencare i servizi rilevanti NIS2 che hanno subito interruzione o degrado
+
+ +
+ + +
+ +
+ + +
Stima preliminare (diretto + indiretto)
+
+
+
+ + +
+
+ Azioni Immediate di Contenimento + ? +
+
HELP DELLA SEZIONE
+ Checklist delle azioni di contenimento immediato. Per SEV-1: contenimento entro 30 minuti. Documentare ogni azione con timestamp. +
+ +
+ +
    +
  • + + +
    • +
  • + + +
    • +
  • + + +
    • +
  • + + +
    • +
  • + + +
    • +
  • + + +
    • +
  • + + +
    • +
+ +
+ + +
+
+ + +
+
+ Collegamento Risk Assessment + ? +
+
HELP DELLA SEZIONE
+ Collegare l'incidente a rischi già identificati nel risk assessment (Org.05). Se l'incidente evidenzia un nuovo rischio, verrà creato automaticamente. +
+ +
+ +
+ + +
Codice rischio da Org.05 - Risk Assessment. Lasciare vuoto se nuovo rischio
+
+ +
+ + +
+
+ + +
+
+ Annulla + + +
+
+
+
+ + + + diff --git a/docs/nis2/incidente_r01/incident-notification.html b/docs/nis2/incidente_r01/incident-notification.html new file mode 100644 index 0000000..ae210c7 --- /dev/null +++ b/docs/nis2/incidente_r01/incident-notification.html @@ -0,0 +1,758 @@ + + + + + + Notifiche CSIRT - INC-2024-047 + + + +
+
+
+

📡 Notifiche CSIRT Italia - INC-2024-047

+
+ Dashboard NIS2 / + Gestione Incidenti / + INC-2024-047 / + Notifiche CSIRT +
+
+ ← Torna all'Incidente +
+
+ +
+ +
+
+ ⏰ Scadenza Imminente - Preallarme CSIRT +
+
+ Il preallarme deve essere inviato al CSIRT Italia entro 24 ore dalla conoscenza dell'incidente significativo.
+ Scadenza: 2024-03-07 08:15 (rimangono 18 ore)
+ Canale: Portale CSIRT Italia (https://www.csirt.gov.it) o PEC dedicata +
+
+ + +
+
+
1
+
Preallarme
+
Entro 24h
+
+
+
2
+
Notifica Completa
+
Entro 72h
+
+
+
3
+
Relazioni Intermedie
+
Su richiesta
+
+
+
4
+
Relazione Finale
+
Entro 1 mese
+
+
+ + +
+
+
1. Preallarme (Entro 24 ore)
+
+ +
+
📋 Contenuto Minimo Preallarme
+
+
    +
  • Se l'incidente è presumibilmente causato da atti illegittimi o malevoli
    • +
  • Se può avere impatto transfrontaliero
    • +
  • Descrizione preliminare dell'incidente
    • +
+
+
+ +
+
+

Dati Incidente

+ +
+ + +
+ +
+ + +
+ +
+ + +
+
+ +
+

Informazioni Preallarme

+ +
+ + +
+ +
+ + +
+ +
+ + +
Fornire una descrizione sintetica ma completa dell'incidente
+
+ +
+ + +
+ +
+ + +
+
+ +
+

Dati Organizzazione

+ +
+ + +
+ +
+ + +
+ +
+ + +
+ +
+ + +
+ +
+ + +
+
+ +
+ + + +
+
+
+ + +
+
+
2. Notifica Completa (Entro 72 ore)
+
+ +
+
⏸️ In Attesa Invio Preallarme
+
+ La notifica completa può essere compilata dopo l'invio del preallarme.
+ Scadenza: 2024-03-09 08:15 (72 ore dalla rilevazione) +
+
+ +
+
📋 Contenuto Notifica Completa
+
+
    +
  • Aggiornamento informazioni del preallarme
    • +
  • Valutazione iniziale dell'incidente
    • +
  • Gravità e impatto dettagliato
    • +
  • Indicatori di compromissione (IoC) se disponibili
    • +
  • Misure di contenimento adottate
    • +
  • Stato corrente della gestione
    • +
+
+
+ + +
+ + +
+
+
4. Relazione Finale (Entro 1 mese)
+
+ +
+
⏸️ In Attesa Chiusura Incidente
+
+ La relazione finale deve essere inviata entro 1 mese dalla notifica completa, + o entro 1 mese dalla gestione completa dell'incidente se ancora in corso.
+ Scadenza stimata: 2024-04-09 +
+
+ +
+
📋 Contenuto Relazione Finale
+
+
    +
  • Descrizione dettagliata dell'incidente
    • +
  • Causa radice (root cause) identificata o probabile
    • +
  • Misure di mitigazione applicate
    • +
  • Impatto transfrontaliero (se applicabile)
    • +
  • Tipo di minaccia o causa radice
    • +
  • Misure correttive in corso e pianificate
    • +
  • Lesson learned e raccomandazioni
    • +
+
+
+ + +
+ + +
+
+
Storico Comunicazioni CSIRT
+
+ + + + + + + + + + + + + + + + + +
Data/OraTipo ComunicazioneCanaleProtocollo/RiferimentoStatoAzioni
+ Nessuna comunicazione inviata ancora +
+
+
+ + + + diff --git a/docs/nis2/incidente_r01/incident-pir.html b/docs/nis2/incidente_r01/incident-pir.html new file mode 100644 index 0000000..4f0fc0e --- /dev/null +++ b/docs/nis2/incidente_r01/incident-pir.html @@ -0,0 +1,803 @@ + + + + + + Post-Incident Review - INC-2024-047 + + + +
+
+
+

📊 Post-Incident Review - INC-2024-047

+
+ Dashboard NIS2 / + Gestione Incidenti / + INC-2024-047 / + Post-Incident Review +
+
+
+ + ← Torna all'Incidente +
+
+
+ +
+
+
ℹ️ Post-Incident Review (RC.CO-03)
+
+ Analisi completa dell'incidente per identificare lesson learned e azioni di miglioramento. + Da completare entro 2 settimane dalla chiusura per incidenti SEV-1/SEV-2. +

+ Partecipanti richiesti: Incident Response Team, CISO, Responsabili Divisione impattate, Direzione (per SEV-1) +
+
+ + +
+
Metriche Incidente
+ +
+
+
TTD (Time to Detect)
+
0.5h
+
Target: <2h ✅
+
+
+
TTC (Time to Contain)
+
2.2h
+
Target SEV-1: <1h ⚠️
+
+
+
TTR (Time to Recover)
+
30.25h
+
RTO: ≤48h ✅
+
+
+
Downtime Totale
+
30h 15m
+
45 utenti impattati
+
+
+
Costo Stimato
+
€12.5K
+
Diretto + indiretto
+
+
+
Conformità Notifiche
+
100%
+
CSIRT entro 24h ✅
+
+
+
+ + +
+
Root Cause Analysis (5 Whys)
+ +
+
+ Problema: Tentativo di attacco ransomware su server ERP +
+ +
+ 1. Perché è successo?
+ → Perché un utente ha aperto un allegato malevolo da email phishing +
+ +
+ 2. Perché l'utente ha aperto l'allegato?
+ → Perché l'email sembrava legittima (spoofing fornitore) e l'utente non ha riconosciuto i segnali di phishing +
+ +
+ 3. Perché l'utente non ha riconosciuto il phishing?
+ → Perché la formazione awareness sulla sicurezza non era sufficientemente frequente e pratica +
+ +
+ 4. Perché le credenziali dell'utente erano già compromesse?
+ → Perché l'utente utilizzava la stessa password su servizi esterni (credential stuffing attack non rilevato) +
+ +
+ 5. Perché non c'era MFA obbligatoria su account amministrativi?
+ → Perché la policy MFA era in fase di rollout graduale e non ancora applicata a tutti gli account admin +
+
+ +
+ ROOT CAUSE IDENTIFICATA:
+ + 1. MFA non obbligatoria su tutti gli account amministrativi
+ 2. Formazione awareness non sufficientemente efficace
+ 3. Monitoraggio credential stuffing non attivo
+ 4. Policy password debole (riutilizzo su servizi esterni) + +
+
+ + +
+
Valutazione Efficacia Risposta
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
FaseValutazionePunti di ForzaAree di Miglioramento
Rilevazione✅ EccellenteEDR ha bloccato immediatamente il malware. TTD: 0.5hNessuna - detection efficace
Triage✅ BuonoClassificazione corretta entro 1h. Crisis Team attivato tempestivamenteProcesso decisionale può essere ulteriormente accelerato
Contenimento⚠️ SufficienteIsolamento rapido. Nessuna propagazioneTTC 2.2h > target 1h per SEV-1. Procedure di isolamento da ottimizzare
Eradicazione✅ BuonoRimozione completa minaccia. Hardening applicatoAnalisi forense richiede più tempo del previsto
Ripristino✅ BuonoTTR 30.25h < RTO 48h. Backup immutabile efficaceProcesso di verifica post-ripristino può essere standardizzato
Comunicazioni✅ EccellentePreallarme CSIRT entro 24h. Comunicazioni interne tempestiveTemplate comunicazioni possono essere pre-compilati
+
+ + +
+
Gap Identificati
+ +
+ + +
+ +
+ + +
+ +
+ + +
+ +
+ + +
+
+ + +
+
Piano Azioni Correttive
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
IDAzione CorrettivaCategoriaPrioritàResponsabileScadenzaOrg. Rif.Stato
AC-001Implementare MFA obbligatoria su TUTTI gli account amministrativiTecnicaALTAIT Manager2024-03-20Org.03In corso
AC-002Implementare monitoraggio credential stuffing su SIEMTecnicaALTASOC Lead2024-03-25Org.09Pianificata
AC-003Rafforzare filtri anti-phishing email gatewayTecnicaALTAIT Security2024-03-15Org.08In corso
AC-004Implementare isolamento automatico endpoint compromessiTecnicaMEDIAIT Security2024-04-15Org.08Pianificata
AC-005Aggiornare policy password (vietare riutilizzo su servizi esterni)ProceduraleALTACISO2024-03-10Org.03In corso
AC-006Creare checklist rapida contenimento SEV-1ProceduraleMEDIACISO2024-03-15Org.10Pianificata
AC-007Preparare template comunicazioni pre-compilatiProceduraleBASSACISO2024-04-30Org.10Pianificata
AC-008Aumentare frequenza formazione awareness (mensile)FormativaALTAHR + CISO2024-04-01Org.04Pianificata
AC-009Implementare simulazioni phishing trimestraliFormativaMEDIACISO2024-04-15Org.04Pianificata
AC-010Formazione specifica account amministrativi su minacce mirateFormativaMEDIACISO2024-03-30Org.04Pianificata
AC-011Aggiornare risk assessment con nuovo scenario ransomwareOrganizzativaALTACISO2024-03-20Org.05Pianificata
AC-012Pianificare esercitazione tabletop ransomwareOrganizzativaMEDIACISO2024-05-31Org.08Pianificata
+ +
+ Riepilogo Azioni:
+
+
+ Totali: + 12 +
+
+ Alta priorità: + 6 +
+
+ Media priorità: + 5 +
+
+ Bassa priorità: + 1 +
+
+
+
+ + +
+
Raccomandazioni e Lesson Learned
+ +
+

+ ✅ COSA HA FUNZIONATO BENE +

+
    +
  • EDR ha bloccato immediatamente il ransomware prima della crittografia
    • +
  • Backup immutabile ha permesso ripristino rapido e sicuro
    • +
  • Crisis Team ha risposto prontamente e in modo coordinato
    • +
  • Comunicazioni CSIRT rispettate nei tempi (preallarme entro 24h)
    • +
  • Nessuna propagazione dell'attacco ad altri sistemi
    • +
  • Preservazione evidenze forensi efficace
    • +
+
+ +
+

+ ⚠️ COSA MIGLIORARE +

+
    +
  • Tempo di contenimento (2.2h) superiore al target per SEV-1 (<1h)
    • +
  • MFA non era obbligatoria su account amministrativi
    • +
  • Formazione awareness non sufficientemente efficace
    • +
  • Monitoraggio credential stuffing assente
    • +
  • Procedure di isolamento rapido non documentate
    • +
+
+ +
+

+ 💡 LESSON LEARNED CHIAVE +

+
    +
  1. MFA è fondamentale: L'assenza di MFA su account amministrativi è stata la vulnerabilità critica. Implementazione immediata obbligatoria.
    2. +
  2. Backup immutabile salva: Il backup immutabile ha evitato perdita dati e permesso ripristino rapido. Investimento essenziale.
    3. +
  3. EDR efficace ma non sufficiente: EDR ha bloccato il malware ma non ha prevenuto il phishing. Serve approccio multi-layer.
    4. +
  4. Formazione continua necessaria: Awareness sporadica non è efficace. Serve formazione continua e simulazioni pratiche.
    5. +
  5. Procedure automatiche riducono TTC: Isolamento manuale ha richiesto tempo. Automazione può ridurre significativamente TTC.
    6. +
  6. Comunicazioni tempestive cruciali: Rispetto scadenze CSIRT e comunicazioni interne hanno evitato complicazioni legali/reputazionali.
    7. +
+
+
+ + +
+
Finalizzazione Post-Incident Review
+ +
+ Partecipanti PIR:
+
    +
  • CISO - P. Lombardi (coordinatore)
    • +
  • SOC Lead - L. Verdi
    • +
  • System Admin - G. Rossi
    • +
  • Forensics Team - A. Neri
    • +
  • IT Manager - M. Bianchi
    • +
  • Responsabile Divisione Finance - S. Neri
    • +
  • Direzione - CdA Representative
    • +
+
+ +
+ + + +
+
+
+ + + + diff --git a/docs/nis2/incidente_r01/incident-recovery.html b/docs/nis2/incidente_r01/incident-recovery.html new file mode 100644 index 0000000..498fca0 --- /dev/null +++ b/docs/nis2/incidente_r01/incident-recovery.html @@ -0,0 +1,660 @@ + + + + + + Ripristino Servizi - INC-2024-047 + + + +
+
+
+

🔄 Ripristino Servizi - INC-2024-047

+
+ Dashboard NIS2 / + Gestione Incidenti / + INC-2024-047 / + Ripristino +
+
+ ← Torna all'Incidente +
+
+ +
+
+
ℹ️ Processo di Ripristino (RC.RP-01)
+
+ Ripristino graduale dei servizi secondo priorità BIA. Ogni sistema deve essere verificato per integrità, + funzionalità e sicurezza prima del ripristino in produzione. Monitoraggio intensivo post-ripristino per 72 ore. +
+
+ + +
+
Priorità Ripristino (secondo BIA Org.08)
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
PrioritàSistema/ServizioRTO DichiaratoStatoETA RipristinoAzioni
P1 - CriticoServer ERP-PROD-01
Sistema gestionale principale		≤4h🔄 In ripristino2024-03-08 14:00
P1 - CriticoApplicazione SAP ERP
Software gestionale		≤4h⏸️ In attesa server2024-03-08 16:00
+
+ + +
+
Checklist Ripristino Server ERP-PROD-01
+ +

1. Valutazione Pre-Ripristino

+
    +
  • + + Minaccia completamente rimossa ed eradicata +
    • +
  • + + Nessun indicatore di compromissione residuo +
    • +
  • + + Backup verificato e integro (hash matching) +
    • +
  • + + Strategia di ripristino definita: Ripristino da backup immutabile +
    • +
+ +

2. Ripristino Sistema

+
    +
  • + + Ripristino da backup immutabile avviato (2024-03-07 10:00) +
    • +
  • + + Sistema operativo ripristinato e verificato +
    • +
  • + + Applicazione ERP ripristinata e configurata +
    • +
  • + + Database ripristinato e verificato integrità +
    • +
  • + + Patch di sicurezza applicati (ultimi aggiornamenti) +
    • +
  • + + Configurazione hardening applicata (baseline CIS) +
    • +
+ +

3. Verifica Integrità e Sicurezza

+
    +
  • + + Integrità dati verificata (confronto checksum con backup) +
    • +
  • + + Test funzionali applicativi completati con successo +
    • +
  • + + Scansione antimalware completa (nessuna minaccia rilevata) +
    • +
  • + + Verifica assenza IoC residui +
    • +
  • + + Configurazione EDR verificata e attiva +
    • +
  • + + Log attivi e integrati nel SIEM +
    • +
+ +

4. Ripristino Accessi

+
    +
  • + + Reset credenziali per tutti gli account potenzialmente compromessi +
    • +
  • + + MFA verificata e funzionante per tutti gli account admin +
    • +
  • + + Riattivazione accessi graduale per ruolo (admin → power user → user) +
    • +
  • + + Monitoraggio accessi post-ripristino attivato +
    • +
+ +

5. Ripristino Connettività

+
    +
  • + + Regole firewall aggiornate (IP C2 bloccati permanentemente) +
    • +
  • + + Segmentazione rete verificata +
    • +
  • + + Test connettività end-to-end completati +
    • +
  • + + Monitoraggio traffico anomalo attivo +
    • +
+ +

6. Validazione Finale

+
    +
  • + + Sign-off tecnico: Team Incident Response +
    • +
  • + + Sign-off business: Responsabile Divisione +
    • +
  • + + Sign-off sicurezza: CISO +
    • +
  • + + Dichiarazione di ripristino completato +
    • +
+ +
+
+
Progresso Ripristino
+
9%
+
+ +
+
+ + +
+
Piano Monitoraggio Post-Ripristino
+ +
+

+ 📊 Monitoraggio Intensivo (72 ore) +

+
    +
  • Monitoraggio continuo 24/7 da SOC
    • +
  • Soglie di alerting ridotte (maggiore sensibilità)
    • +
  • Threat hunting mirato ogni 8 ore
    • +
  • Report giornaliero stato sistema
    • +
  • Verifica integrità file system ogni 12 ore
    • +
+
+ +
+

+ 📈 Monitoraggio Elevato (30 giorni) +

+
    +
  • Monitoraggio continuo con priorità alta
    • +
  • Threat hunting settimanale
    • +
  • Report settimanale a CISO
    • +
  • Verifica periodica IoC
    • +
  • Analisi comportamentale utenti e processi
    • +
+
+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
MetricaBaseline Pre-IncidenteTarget Post-RipristinoFrequenza Check
CPU Usage45-60%45-60% (±5%)Ogni 5 minuti
Memory Usage70-75%70-75% (±5%)Ogni 5 minuti
Network Traffic2-5 Gbps2-5 GbpsContinuo
Failed Login Attempts<5/ora<3/oraReal-time
Processi Anomali00Ogni 15 minuti
Connessioni Esterne Sospette00Real-time
+
+ + +
+
Comunicazioni Ripristino Completato
+ +
+

+ 📧 Template Comunicazione Interna +

+
+ Oggetto: Ripristino Servizio ERP Completato

+ Gentili colleghi,

+ Vi informiamo che il servizio ERP è stato completamente ripristinato e + risulta nuovamente operativo a partire dalle ore [DATA/ORA].

+ Azioni richieste agli utenti:
+ • Effettuare reset password al primo accesso
+ • Verificare che MFA sia attiva
+ • Segnalare immediatamente qualsiasi comportamento anomalo

+ Il sistema è sotto monitoraggio intensivo per le prossime 72 ore.

+ Per qualsiasi problema contattare l'helpdesk.

+ Grazie per la collaborazione.
+ IT Security Team +
+
+ +
+

+ 📡 Aggiornamento CSIRT Italia +

+
+ Aggiornare la notifica CSIRT con informazioni sul ripristino completato: +
    +
  • Data/ora ripristino completato
    • +
  • Servizi ripristinati
    • +
  • Downtime totale effettivo vs RTO
    • +
  • Misure di hardening applicate
    • +
  • Piano di monitoraggio post-ripristino
    • +
+
+
+
+
+ + + + + diff --git a/docs/sql/020_asset_relevance.sql b/docs/sql/020_asset_relevance.sql new file mode 100644 index 0000000..af57e90 --- /dev/null +++ b/docs/sql/020_asset_relevance.sql @@ -0,0 +1,66 @@ +-- ============================================================================ +-- Migration 020 - Asset Relevance Scoring (NIS2 GV.OC-04) +-- ---------------------------------------------------------------------------- +-- Aggiunge la metodologia di scoring rilevanza NIS2 (0-100, 6 criteri pesati) +-- alla tabella assets. Adattata dai mockup docs/nis2/assets.html + +-- doc-relevant-systems.html (Determina/metodologia CdA, soglia >=40 rilevante). +-- +-- Criteri: C1 Criticita Operativa (0-25), C2 Impatto Interruzione (0-25), +-- C3 Dati Trattati (0-20), C4 Dipendenze (0-15), +-- C5 Esposizione (0-10), C6 Obblighi Normativi (0-5). +-- Classificazione: >=80 critico | 60-79 alto | 40-59 medio | 20-39 basso | <20 trascurabile +-- Rilevanza NIS2: score >= 40. +-- +-- IMPORTANTE (vedi CLAUDE.md / memoria): MySQL 8 Ubuntu NON supporta +-- "ADD COLUMN IF NOT EXISTS". Questo script usa una stored procedure idempotente +-- che verifica information_schema prima di ogni ALTER. Rilanciabile senza danni. +-- Eseguire con: mysql -h localhost nis2_agile_db -e "source docs/sql/020_asset_relevance.sql" +-- ============================================================================ + +DELIMITER // + +DROP PROCEDURE IF EXISTS _mig020_add_col // +CREATE PROCEDURE _mig020_add_col(IN col VARCHAR(64), IN ddl TEXT) +BEGIN + IF NOT EXISTS ( + SELECT 1 FROM information_schema.COLUMNS + WHERE TABLE_SCHEMA = DATABASE() AND TABLE_NAME = 'assets' AND COLUMN_NAME = col + ) THEN + SET @sql = CONCAT('ALTER TABLE assets ADD COLUMN ', ddl); + PREPARE st FROM @sql; EXECUTE st; DEALLOCATE PREPARE st; + END IF; +END // + +DELIMITER ; + +CALL _mig020_add_col('relevance_score', "relevance_score TINYINT UNSIGNED NULL COMMENT 'Punteggio rilevanza NIS2 0-100'"); +CALL _mig020_add_col('relevance_criteria', "relevance_criteria JSON NULL COMMENT 'Dettaglio punteggi C1-C6 per audit'"); +CALL _mig020_add_col('relevance_class', "relevance_class ENUM('critico','alto','medio','basso','trascurabile') NULL"); +CALL _mig020_add_col('is_nis2_relevant', "is_nis2_relevant TINYINT(1) NOT NULL DEFAULT 0 COMMENT '1 se score >= 40'"); +CALL _mig020_add_col('relevance_assessed_at', "relevance_assessed_at DATETIME NULL"); +CALL _mig020_add_col('relevance_assessed_by', "relevance_assessed_by INT NULL"); + +DROP PROCEDURE IF EXISTS _mig020_add_col; + +-- Indice per filtri "sistemi rilevanti" (idempotente via check) +DELIMITER // +DROP PROCEDURE IF EXISTS _mig020_add_idx // +CREATE PROCEDURE _mig020_add_idx() +BEGIN + IF NOT EXISTS ( + SELECT 1 FROM information_schema.STATISTICS + WHERE TABLE_SCHEMA = DATABASE() AND TABLE_NAME = 'assets' AND INDEX_NAME = 'idx_relevance' + ) THEN + ALTER TABLE assets ADD INDEX idx_relevance (is_nis2_relevant, relevance_score); + END IF; +END // +DELIMITER ; +CALL _mig020_add_idx(); +DROP PROCEDURE IF EXISTS _mig020_add_idx; + +-- ROLLBACK (manuale): +-- ALTER TABLE assets +-- DROP COLUMN relevance_score, DROP COLUMN relevance_criteria, +-- DROP COLUMN relevance_class, DROP COLUMN is_nis2_relevant, +-- DROP COLUMN relevance_assessed_at, DROP COLUMN relevance_assessed_by, +-- DROP INDEX idx_relevance; diff --git a/docs/sql/021_incident_nis2_taxonomy.sql b/docs/sql/021_incident_nis2_taxonomy.sql new file mode 100644 index 0000000..2384178 --- /dev/null +++ b/docs/sql/021_incident_nis2_taxonomy.sql @@ -0,0 +1,36 @@ +-- ============================================================================ +-- Migration 021 - Tassonomia Incidenti NIS2 (Determina ACN 164179/2025) +-- ---------------------------------------------------------------------------- +-- Aggiunge alla tabella incidents: +-- - nis2_incident_type: tipologia incidente significativo IS-1/IS-2/IS-3/IS-4 +-- (Determinazione ACN n. 164179 del 14/04/2025, Allegati 3 e 4). +-- - entity_obligation: regime di obblighi applicabile (essential=Allegato 3, +-- important=Allegato 4). I soggetti importanti NON sono tenuti all'IS-4 +-- (incidenti ricorrenti). +-- +-- Fonte: D.Lgs. 138/2024 art. 23 + Determina ACN 164179/2025. +-- Idempotente via information_schema. Rilanciabile. +-- mysql -h localhost nis2_agile_db -e "source docs/sql/021_incident_nis2_taxonomy.sql" +-- ============================================================================ + +DELIMITER // +DROP PROCEDURE IF EXISTS _mig021_add_col // +CREATE PROCEDURE _mig021_add_col(IN col VARCHAR(64), IN ddl TEXT) +BEGIN + IF NOT EXISTS ( + SELECT 1 FROM information_schema.COLUMNS + WHERE TABLE_SCHEMA = DATABASE() AND TABLE_NAME = 'incidents' AND COLUMN_NAME = col + ) THEN + SET @sql = CONCAT('ALTER TABLE incidents ADD COLUMN ', ddl); + PREPARE st FROM @sql; EXECUTE st; DEALLOCATE PREPARE st; + END IF; +END // +DELIMITER ; + +CALL _mig021_add_col('nis2_incident_type', "nis2_incident_type ENUM('IS-1','IS-2','IS-3','IS-4') NULL COMMENT 'Tipologia incidente significativo - Determina ACN 164179/2025'"); +CALL _mig021_add_col('entity_obligation', "entity_obligation ENUM('essential','important') NULL COMMENT 'Regime obblighi: essential=Allegato 3, important=Allegato 4'"); + +DROP PROCEDURE IF EXISTS _mig021_add_col; + +-- ROLLBACK: +-- ALTER TABLE incidents DROP COLUMN nis2_incident_type, DROP COLUMN entity_obligation; diff --git a/docs/sql/022_incident_metrics_pir.sql b/docs/sql/022_incident_metrics_pir.sql new file mode 100644 index 0000000..a91c639 --- /dev/null +++ b/docs/sql/022_incident_metrics_pir.sql @@ -0,0 +1,73 @@ +-- ============================================================================ +-- Migration 022 - Metriche Incidente (TTD/TTC/TTR) + Post-Incident Review +-- ---------------------------------------------------------------------------- +-- 1) Timestamp di fase su incidents per calcolare le metriche: +-- triaged_at, contained_at, eradicated_at, recovered_at. +-- (la tabella aveva solo detected_at e closed_at) +-- TTD = triaged_at - detected_at (Time to Detect/triage) +-- TTC = contained_at - detected_at (Time to Contain) +-- TTR = recovered_at - detected_at (Time to Recover) +-- 2) Tabella incident_pir: Post-Incident Review strutturato (RC.CO-03 / NIST CSF), +-- con Root Cause Analysis 5-Whys, metriche, costo stimato, lesson learned. +-- +-- Idempotente. mysql -h localhost nis2_agile_db -e "source docs/sql/022_incident_metrics_pir.sql" +-- ============================================================================ + +DELIMITER // +DROP PROCEDURE IF EXISTS _mig022_add_col // +CREATE PROCEDURE _mig022_add_col(IN col VARCHAR(64), IN ddl TEXT) +BEGIN + IF NOT EXISTS ( + SELECT 1 FROM information_schema.COLUMNS + WHERE TABLE_SCHEMA = DATABASE() AND TABLE_NAME = 'incidents' AND COLUMN_NAME = col + ) THEN + SET @sql = CONCAT('ALTER TABLE incidents ADD COLUMN ', ddl); + PREPARE st FROM @sql; EXECUTE st; DEALLOCATE PREPARE st; + END IF; +END // +DELIMITER ; + +CALL _mig022_add_col('triaged_at', "triaged_at DATETIME NULL COMMENT 'Inizio triage'"); +CALL _mig022_add_col('contained_at', "contained_at DATETIME NULL COMMENT 'Incidente contenuto'"); +CALL _mig022_add_col('eradicated_at', "eradicated_at DATETIME NULL COMMENT 'Minaccia eradicata'"); +CALL _mig022_add_col('recovered_at', "recovered_at DATETIME NULL COMMENT 'Servizi ripristinati'"); + +DROP PROCEDURE IF EXISTS _mig022_add_col; + +-- Post-Incident Review (1:1 con incident) +CREATE TABLE IF NOT EXISTS incident_pir ( + id INT AUTO_INCREMENT PRIMARY KEY, + incident_id INT NOT NULL, + organization_id INT NOT NULL, + -- Root Cause Analysis - 5 Whys + problem_statement TEXT, + why_1 TEXT, why_2 TEXT, why_3 TEXT, why_4 TEXT, why_5 TEXT, + root_cause TEXT, + -- Metriche (snapshot al momento della review, in minuti) + ttd_minutes INT NULL, + ttc_minutes INT NULL, + ttr_minutes INT NULL, + downtime_minutes INT NULL, + affected_users INT NULL, + estimated_cost_eur DECIMAL(12,2) NULL, + notification_compliance TINYINT(1) NULL COMMENT '1 se notifiche entro le tempistiche NIS2', + -- Lesson learned & azioni di miglioramento + what_went_well TEXT, + what_to_improve TEXT, + improvement_actions JSON NULL COMMENT 'lista azioni {desc, owner, due_date, status}', + participants TEXT, + reviewed_by INT NULL, + reviewed_at DATETIME NULL, + status ENUM('draft','completed') DEFAULT 'draft', + created_at DATETIME DEFAULT CURRENT_TIMESTAMP, + updated_at DATETIME DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, + UNIQUE KEY uniq_incident (incident_id), + INDEX idx_org (organization_id), + CONSTRAINT fk_pir_incident FOREIGN KEY (incident_id) REFERENCES incidents(id) ON DELETE CASCADE, + CONSTRAINT fk_pir_org FOREIGN KEY (organization_id) REFERENCES organizations(id) ON DELETE CASCADE +) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4; + +-- ROLLBACK: +-- DROP TABLE IF EXISTS incident_pir; +-- ALTER TABLE incidents DROP COLUMN triaged_at, DROP COLUMN contained_at, +-- DROP COLUMN eradicated_at, DROP COLUMN recovered_at; diff --git a/public/assets.html b/public/assets.html index 1c5bbd2..9248513 100644 --- a/public/assets.html +++ b/public/assets.html @@ -466,6 +466,7 @@ Tipo Categoria Criticita' + Rilevanza NIS2 Owner Stato Azioni @@ -482,9 +483,13 @@ ${typeLabels[asset.asset_type] || asset.asset_type || '-'} ${escapeHtml(asset.category || '-')} ${criticalityLabels[crit] || crit} + ${relevanceBadge(asset)} ${escapeHtml(asset.owner_name || '-')} ${statusLabels[st] || st} - + + @@ -496,6 +501,106 @@ container.innerHTML = html; } + // ── Rilevanza NIS2 (GV.OC-04) ─────────────────────────── + const relevanceClassColors = { + critico: '#dc2626', alto: '#ea580c', medio: '#ca8a04', + basso: '#2563eb', trascurabile: '#6b7280' + }; + + function relevanceBadge(asset) { + if (asset.relevance_score === null || asset.relevance_score === undefined || asset.relevance_score === '') { + return 'Da valutare'; + } + const cls = asset.relevance_class || 'trascurabile'; + const color = relevanceClassColors[cls] || '#6b7280'; + const rel = Number(asset.is_nis2_relevant) ? ' ✓' : ''; + return ` + ${asset.relevance_score} + ${cls.charAt(0).toUpperCase() + cls.slice(1)}${rel}`; + } + + let _scoringGrid = null; + async function loadScoringGrid() { + if (_scoringGrid) return _scoringGrid; + const r = await api.getScoringGrid(); + if (r.success) _scoringGrid = r.data; + return _scoringGrid; + } + + async function showScoringModal(id) { + try { + const [assetRes, grid] = await Promise.all([api.getAsset(id), loadScoringGrid()]); + if (!assetRes.success || !grid) { showNotification('Errore caricamento dati.', 'error'); return; } + const a = assetRes.data; + let prev = a.relevance_criteria; + if (typeof prev === 'string') { try { prev = JSON.parse(prev); } catch (e) { prev = null; } } + + let body = `

+ Metodologia di scoring rilevanza NIS2 (requisito GV.OC-04). Soglia rilevanza: ≥${grid.threshold} punti. + Il punteggio aggiorna automaticamente anche la criticita dell'asset.

`; + + for (const [key, def] of Object.entries(grid.grid)) { + const sel = prev && prev[key] ? prev[key].value : ''; + let opts = ``; + for (const [ov, od] of Object.entries(def.options)) { + opts += ``; + } + body += `
+ +
${def.help}
+ +
`; + } + body += `
+ Totale: 0/100 —
`; + + showModal(`Valuta Rilevanza NIS2 — ${escapeHtml(a.name)}`, body, { + size: 'lg', + footer: ` + ` + }); + updateScorePreview(); + } catch (e) { + showNotification('Errore nell\'apertura della valutazione.', 'error'); + } + } + + function updateScorePreview() { + let total = 0, complete = true; + document.querySelectorAll('.score-criterion').forEach(s => { + if (!s.value) { complete = false; return; } + total += parseInt(s.selectedOptions[0].dataset.pts || '0', 10); + }); + let cls = total >= 80 ? 'critico' : total >= 60 ? 'alto' : total >= 40 ? 'medio' : total >= 20 ? 'basso' : 'trascurabile'; + const color = relevanceClassColors[cls]; + document.getElementById('score-total').textContent = total; + const clsEl = document.getElementById('score-class'); + clsEl.textContent = complete ? `${cls.charAt(0).toUpperCase() + cls.slice(1)}${total >= 40 ? ' — Rilevante NIS2 ✓' : ''}` : '(completa tutti i criteri)'; + clsEl.style.color = complete ? color : 'var(--gray-400)'; + } + + async function submitScoring(id) { + const criteria = {}; + let complete = true; + document.querySelectorAll('.score-criterion').forEach(s => { + if (!s.value) complete = false; + criteria[s.dataset.key] = s.value; + }); + if (!complete) { showNotification('Compila tutti i 6 criteri.', 'warning'); return; } + try { + const r = await api.scoreAsset(id, criteria); + if (r.success) { + showNotification(`Rilevanza calcolata: ${r.data.score}/100 (${r.data.class}).`, 'success'); + closeModal(); + loadAssets(); + } else { + showNotification(r.message || 'Errore nel calcolo.', 'error'); + } + } catch (e) { + showNotification('Errore di connessione.', 'error'); + } + } + // ── Asset Detail View ─────────────────────────────────── async function showAssetDetail(id) { try { @@ -581,6 +686,7 @@ size: 'lg', footer: ` + ` }); diff --git a/public/index.php b/public/index.php index 2f386c8..1f65fd7 100644 --- a/public/index.php +++ b/public/index.php @@ -230,6 +230,9 @@ $actionMap = [ 'POST:{id}/notification' => 'sendNotification', 'POST:{id}/finalReport' => 'sendFinalReport', 'POST:{id}/aiClassify' => 'aiClassify', + 'GET:{id}/metrics' => 'metrics', + 'GET:{id}/pir' => 'getPir', + 'POST:{id}/pir' => 'savePir', ], // ── PolicyController ──────────────────────────── @@ -269,10 +272,13 @@ $actionMap = [ 'assets' => [ 'GET:list' => 'list', 'POST:create' => 'create', + 'GET:scoringGrid' => 'scoringGrid', + 'GET:relevantSystems' => 'relevantSystems', + 'GET:dependencyMap' => 'dependencyMap', 'GET:{id}' => 'get', 'PUT:{id}' => 'update', 'DELETE:{id}' => 'delete', - 'GET:dependencyMap' => 'dependencyMap', + 'POST:{id}/score' => 'score', ], // ── AuditController ───────────────────────────── @@ -284,7 +290,9 @@ $actionMap = [ 'GET:report' => 'generateReport', 'GET:logs' => 'getAuditLogs', 'GET:iso27001Mapping' => 'getIsoMapping', + 'GET:nistCsfMapping' => 'getNistCsfMapping', 'GET:executiveReport' => 'executiveReport', + 'GET:relevantSystemsRegister' => 'relevantSystemsRegister', 'GET:export' => 'export', 'GET:chainVerify' => 'chainVerify', 'GET:exportCertified' => 'exportCertified', diff --git a/public/js/api.js b/public/js/api.js index e2c7199..c24fcf6 100644 --- a/public/js/api.js +++ b/public/js/api.js @@ -212,6 +212,10 @@ class NIS2API { sendEarlyWarning(id) { return this.post(`/incidents/${id}/early-warning`, {}); } sendNotification(id) { return this.post(`/incidents/${id}/notification`, {}); } sendFinalReport(id) { return this.post(`/incidents/${id}/final-report`, {}); } + aiClassifyIncident(id) { return this.post(`/incidents/${id}/aiClassify`, {}); } + getIncidentMetrics(id) { return this.get(`/incidents/${id}/metrics`); } + getIncidentPir(id) { return this.get(`/incidents/${id}/pir`); } + saveIncidentPir(id, data) { return this.post(`/incidents/${id}/pir`, data); } // ═══════════════════════════════════════════════════════════════════ // Policies @@ -251,6 +255,11 @@ class NIS2API { createAsset(data) { return this.post('/assets/create', data); } getAsset(id) { return this.get(`/assets/${id}`); } updateAsset(id, data) { return this.put(`/assets/${id}`, data); } + deleteAsset(id) { return this.delete(`/assets/${id}`); } + // NIS2 relevance scoring (GV.OC-04) + getScoringGrid() { return this.get('/assets/scoringGrid'); } + scoreAsset(id, criteria) { return this.post(`/assets/${id}/score`, { criteria }); } + listRelevantSystems() { return this.get('/assets/relevantSystems'); } // ═══════════════════════════════════════════════════════════════════ // Audit diff --git a/public/js/help.js b/public/js/help.js index b6e89a7..3fcdd2a 100644 --- a/public/js/help.js +++ b/public/js/help.js @@ -207,11 +207,13 @@ const HelpSystem = (function () { } ], references: [ - 'Art. 23.1 - Obbligo di notifica degli incidenti significativi', - 'Art. 23.4 (a) - Early warning entro 24 ore', - 'Art. 23.4 (b) - Notifica entro 72 ore', - 'Art. 23.4 (d) - Relazione finale entro un mese', - 'Art. 23.3 - Definizione di incidente significativo' + 'Direttiva (UE) 2022/2555 - Art. 23.1 - Obbligo di notifica degli incidenti significativi', + 'Direttiva (UE) 2022/2555 - Art. 23.4 (a) - Early warning entro 24 ore', + 'Direttiva (UE) 2022/2555 - Art. 23.4 (b) - Notifica entro 72 ore', + 'Direttiva (UE) 2022/2555 - Art. 23.4 (d) - Relazione finale entro un mese', + 'D.Lgs. 4 settembre 2024, n. 138 - Art. 23 - Notifica degli incidenti (recepimento NIS2)', + 'Determinazione ACN n. 164179 del 14/04/2025 - Classificazione incidenti significativi (Allegato 3 soggetti essenziali, Allegato 4 soggetti importanti) e tipologie IS-1/IS-2/IS-3/IS-4', + 'Determinazione ACN n. 333017/2025 - Piattaforma digitale ACN per le notifiche' ] }, @@ -381,6 +383,15 @@ const HelpSystem = (function () { 'Il livello di criticita\' influenza la valutazione dei rischi associati.' ] }, + { + heading: 'Rilevanza NIS2 (scoring 0-100)', + items: [ + 'Il pulsante Valuta Rilevanza NIS2 applica una metodologia di scoring documentata a 6 criteri pesati: Criticita Operativa (0-25), Impatto Interruzione (0-25), Dati Trattati (0-20), Dipendenze (0-15), Esposizione (0-10), Obblighi Normativi (0-5).', + 'Un sistema e considerato rilevante NIS2 quando il punteggio ≥ 40. Classi: ≥80 Critico, 60-79 Alto, 40-59 Medio, 20-39 Basso, <20 Trascurabile.', + 'Il punteggio aggiorna automaticamente anche la criticita dell\'asset e alimenta il registro formale dei Sistemi Rilevanti.', + 'La metodologia supporta il requisito di censimento e classificazione dei sistemi informativi e di rete rilevanti, da approvare a livello di Direzione.' + ] + }, { heading: 'Mappa delle Dipendenze', items: [ @@ -399,10 +410,11 @@ const HelpSystem = (function () { } ], references: [ - 'Art. 21.2 (i) - Sicurezza delle risorse umane, politiche di controllo dell\'accesso e gestione degli attivi', - 'Art. 21.2 (a) - Politiche di analisi dei rischi e di sicurezza dei sistemi informatici', - 'Art. 21.2 (c) - Continuita\' operativa, gestione dei backup e ripristino in caso di disastro', - 'Considerando 79 - Adeguatezza delle misure rispetto ai rischi per le reti e i sistemi informativi' + 'Direttiva (UE) 2022/2555 - Art. 21.2 (i) - Sicurezza delle risorse umane, controllo degli accessi e gestione degli attivi', + 'Direttiva (UE) 2022/2555 - Art. 21.2 (a) - Politiche di analisi dei rischi e di sicurezza dei sistemi informatici', + 'Direttiva (UE) 2022/2555 - Art. 21.2 (c) - Continuita\' operativa, gestione dei backup e ripristino', + 'D.Lgs. 4 settembre 2024, n. 138 - Art. 24 - Obblighi in materia di misure di gestione del rischio', + 'Identificazione e classificazione dei sistemi rilevanti - metodologia di scoring 0-100 approvata dalla Direzione' ] }, diff --git a/public/version.json b/public/version.json index 886b6b8..c8086b0 100644 --- a/public/version.json +++ b/public/version.json @@ -1 +1 @@ -{"version":"1.6.1","build":"20260529g","date":"2026-05-29T14:55:00+02:00","changelog":"Doc: aggiornati help.js (sezione Impostazioni con Sessioni/Preferenze/Branding/Reset/Tenant), i18n.js (chiavi IT/EN per Fasi 2-5), product knowledge AI AgileHub (card NIS2 id=914)"} +{"version":"1.7.0","build":"20260529h","date":"2026-05-29T16:30:00+02:00","changelog":"FEAT integrazione analisi docs/nis2: (1) Asset Relevance Scoring NIS2 0-100 a 6 criteri (GV.OC-04) + registro formale stampabile; (2) Tassonomia incidenti Determina ACN 164179/2025 (IS-1..4, regime essenziale/importante Allegati 3-4); (3) Post-Incident Review strutturato 5-Whys + metriche TTD/TTC/TTR; (4) Layer mapping NIST CSF 2.0 (43 controlli); (5) Fonti normative certe: registry citabile + grounding AI + citazioni help + ingest PDF normativi nella KB RAG."} diff --git a/scripts/ingest-nis2-sources.php b/scripts/ingest-nis2-sources.php new file mode 100644 index 0000000..7b74d58 --- /dev/null +++ b/scripts/ingest-nis2-sources.php @@ -0,0 +1,213 @@ + fallback Claude document API. */ +function extractPdfText(string $absPath): string +{ + // 0) Cache di testo pre-estratto accanto al PDF (.pdf.txt). + // Utile quando l'ingest gira in un container privo di pdftotext: + // si estrae prima sull'host e si rilegge il .txt qui. + $cache = $absPath . '.txt'; + if (is_file($cache)) { + $t = (string) file_get_contents($cache); + if (strlen(trim($t)) > 200) { logln(' uso cache testo: ' . basename($cache)); return $t; } + } + + // 1) pdftotext (veloce, gratuito) + $bin = trim((string)@shell_exec('command -v pdftotext 2>/dev/null')); + if ($bin !== '') { + $tmp = tempnam(sys_get_temp_dir(), 'nis2pdf') . '.txt'; + @shell_exec(escapeshellcmd($bin) . ' -enc UTF-8 -nopgbrk ' . escapeshellarg($absPath) . ' ' . escapeshellarg($tmp) . ' 2>/dev/null'); + $txt = is_file($tmp) ? (string)file_get_contents($tmp) : ''; + @unlink($tmp); + if (strlen(trim($txt)) > 200) return $txt; + } + + // 2) Fallback: Claude document API + logln(' pdftotext non disponibile/insufficiente -> uso Claude document API'); + $data = base64_encode((string)file_get_contents($absPath)); + $body = [ + 'model' => defined('ANTHROPIC_MODEL') ? ANTHROPIC_MODEL : 'claude-sonnet-4-5-20250929', + 'max_tokens' => 8000, + 'messages' => [[ + 'role' => 'user', + 'content' => [ + ['type' => 'document', 'source' => ['type' => 'base64', 'media_type' => 'application/pdf', 'data' => $data]], + ['type' => 'text', 'text' => 'Estrai integralmente il testo di questo documento normativo in testo semplice, mantenendo numeri di articolo, commi, allegati e tabelle. Non riassumere, non commentare.'], + ], + ]], + ]; + $ch = curl_init('https://api.anthropic.com/v1/messages'); + curl_setopt_array($ch, [ + CURLOPT_RETURNTRANSFER => true, + CURLOPT_POST => true, + CURLOPT_HTTPHEADER => [ + 'content-type: application/json', + 'x-api-key: ' . ANTHROPIC_API_KEY, + 'anthropic-version: 2023-06-01', + ], + CURLOPT_POSTFIELDS => json_encode($body), + CURLOPT_TIMEOUT => 180, + ]); + $res = curl_exec($ch); + if ($res === false) { logln(' ERRORE curl: ' . curl_error($ch)); curl_close($ch); return ''; } + curl_close($ch); + $j = json_decode($res, true); + return $j['content'][0]['text'] ?? ''; +} + +function chunkText(string $text, int $size = 2000, int $overlap = 200): array +{ + // Multibyte-safe: usa mb_* per non spezzare caratteri UTF-8 a meta' + // (altrimenti json_encode produce body non valido -> Voyage HTTP 400). + $text = mb_convert_encoding($text, 'UTF-8', 'UTF-8'); // bonifica sequenze invalide + $chunks = []; $len = mb_strlen($text, 'UTF-8'); $start = 0; + while ($start < $len) { + $take = min($size, $len - $start); + $piece = mb_substr($text, $start, $take, 'UTF-8'); + if (trim($piece) !== '') $chunks[] = $piece; + if ($start + $take >= $len) break; + $start += ($size - $overlap); + } + return $chunks; +} + +function uuid(): string +{ + $b = random_bytes(16); + $b[6] = chr((ord($b[6]) & 0x0f) | 0x40); + $b[8] = chr((ord($b[8]) & 0x3f) | 0x80); + return vsprintf('%s%s-%s-%s-%s-%s%s%s', str_split(bin2hex($b), 4)); +} + +logln('=== Ingest fonti normative NIS2 nella KB (scope SYSTEM) ==='); +if ($dryRun) logln('MODALITA DRY-RUN: nessun upsert.'); + +$embed = null; $vector = null; +if (!$dryRun) { + $embed = new EmbedService(); + $vector = new VectorService(); + $vector->ensureCollection($embed->dims); +} + +$totalChunks = 0; $done = 0; +foreach ($sources as $key => $src) { + if ($only && $key !== $only) continue; + if (empty($src['file'])) { logln("SKIP {$key}: nessun file PDF associato"); continue; } + + $abs = BASE_PATH . '/' . $src['file']; + if (!is_file($abs)) { logln("SKIP {$key}: file non trovato {$abs}"); continue; } + + logln("Fonte: {$src['short']} ({$src['file']})"); + $text = extractPdfText($abs); + $text = preg_replace('/[ \t]+/', ' ', $text); + $text = preg_replace('/\n{3,}/', "\n\n", trim($text)); + if (strlen($text) < 200) { logln(" ERRORE: testo estratto troppo breve, salto."); continue; } + + // Prefisso citazione su ogni documento: aiuta il modello a citare correttamente + $header = "FONTE NORMATIVA: {$src['citation']}\nAUTORITA: {$src['authority']}\n\n"; + $chunks = chunkText($header . $text, 2000, 200); + logln(' testo: ' . strlen($text) . ' char -> ' . count($chunks) . ' chunk'); + $totalChunks += count($chunks); + + if ($dryRun) { $done++; continue; } + + // Idempotenza: rimuovi i chunk SYSTEM esistenti per questa fonte + try { + $vector->deleteByFilter(['must' => [ + ['key' => 'scope', 'match' => ['value' => 'SYSTEM']], + ['key' => 'source', 'match' => ['value' => $src['citation']]], + ]]); + } catch (Exception $e) { logln(' (warning) delete precedente: ' . $e->getMessage()); } + + $docUuid = uuid(); + $points = []; + foreach ($chunks as $i => $chunk) { + // Embedding con retry/backoff: Voyage puo' restituire errori transitori + // (HTTP 0 timeout / 429 rate limit) su grandi volumi di chunk. + $vec = null; + for ($try = 1; $try <= 5; $try++) { + try { $vec = $embed->embed($chunk); break; } + catch (Throwable $e) { + if ($try === 5) { logln(" ERRORE embed chunk {$i} dopo 5 tentativi: " . $e->getMessage()); throw $e; } + logln(" retry embed chunk {$i} (tentativo {$try}): " . substr($e->getMessage(), 0, 60)); + sleep($try); // backoff lineare 1s,2s,3s,4s + } + } + $points[] = [ + 'id' => uuid(), + 'vector' => $vec, + 'payload' => [ + 'doc_uuid' => $docUuid, + 'title' => $src['short'] . ($i > 0 ? ' (parte ' . ($i + 1) . ')' : ''), + 'chunk' => $chunk, + 'entity_type' => 'normativa', + 'source' => $src['citation'], + 'lang' => 'it', + 'scope' => 'SYSTEM', + 'consulting_firm_id' => null, + 'organization_id' => null, + 'shared_with_orgs' => [], + 'uploaded_by' => 0, + ], + ]; + } + // Upsert a batch (per non superare i limiti di payload) + foreach (array_chunk($points, 64) as $batch) { + $vector->upsertBatch($batch); + } + + // Tracking MySQL (best-effort) + try { + $stmt = Database::getInstance()->prepare( + "INSERT INTO kb_uploaded_documents + (qdrant_doc_uuid, scope, consulting_firm_id, organization_id, uploaded_by, title, entity_type, source, lang, chunk_count, shared_with_orgs, status) + VALUES (?, 'SYSTEM', NULL, NULL, 0, ?, 'normativa', ?, 'it', ?, '[]', 'ready')" + ); + $stmt->execute([$docUuid, $src['short'], $src['citation'], count($chunks)]); + } catch (Exception $e) { logln(' (warning) tracking insert: ' . $e->getMessage()); } + + logln(" OK indicizzato (doc_uuid={$docUuid})"); + $done++; +} + +logln("=== Completato: {$done} fonti, {$totalChunks} chunk totali ===");