Art. 40
Sicurezza delle reti e dei servizi
In vigore dal 11 dic 2018
Sicurezza delle reti e dei servizi
1. Gli Stati membri assicurano che i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico adottino misure adeguate e proporzionate di natura tecnica e organizzativa per gestire adeguatamente i rischi per la sicurezza delle reti e dei servizi. Tenuto conto delle attuali conoscenze in materia, dette misure assicurano un livello di sicurezza adeguato al rischio esistente. In particolare, si adottano misure, tra cui, se del caso, la crittografia, per prevenire e limitare le conseguenze degli incidenti di sicurezza per gli utenti e le altre reti e gli altri servizi.
L’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) facilita, conformemente al regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio (45), il coordinamento tra gli Stati membri al fine di evitare l’esistenza di requisiti nazionali divergenti che possano comportare rischi per la sicurezza e creare ostacoli al mercato interno.
2. Gli Stati membri assicurano che i fornitori di reti pubbliche di comunicazioni elettronica o di servizi di comunicazione elettronica accessibili al pubblico comunichino senza indebito ritardo all’autorità competente ogni incidente di sicurezza che abbia avuto conseguenze significative sul funzionamento delle reti o dei servizi.
Per determinare la rilevanza dell’impatto di un incidente di sicurezza si tiene conto in particolare dei seguenti parametri, se disponibili:
a)
il numero di utenti interessati dall’incidente di sicurezza;
b)
la durata dell’incidente di sicurezza;
c)
la diffusione geografica della zona interessata dall’incidente di sicurezza;
d)
la misura in cui è colpito il funzionamento della rete o del servizio;
e)
la portata dell’incidenza sulle attività economiche e sociali.
Se del caso, l’autorità competente interessata informa le autorità competenti degli altri Stati membri e l’ENISA. L’autorità competente interessata può informare il pubblico o imporre ai fornitori di farlo, ove accerti che la divulgazione dell’incidente di sicurezza sia nell’interesse pubblico.
L’autorità competente interessata trasmette ogni anno alla Commissione e all’ENISA una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente paragrafo.
3. Gli Stati membri provvedono affinché, in caso di minaccia particolare e significativa di incidenti di sicurezza nelle reti pubbliche di comunicazione elettronica o nei servizi di comunicazione elettronica accessibili al pubblico, i fornitori di tali reti o servizi informino gli utenti potenzialmente interessati da tale minaccia di eventuali misure di protezione o rimedi cui possono ricorrere. Se del caso, i fornitori informano gli utenti anche della minaccia stessa.
4. Il presente articolo lascia impregiudicati il regolamento (UE) 2016/679 e la direttiva 2002/58/CE.
5. La Commissione, tenendo nella massima considerazione il parere dell’ENISA, può adottare atti di esecuzione che descrivano dettagliatamente le misure tecniche e organizzative di cui al paragrafo 1 nonché le circostanze, il formato e le procedure che si applicano agli obblighi di notifica ai sensi del paragrafo 2. Essi si basano, per quanto possibile, sulle norme europee e internazionali e non impediscono agli Stati membri di adottare ulteriori prescrizioni al fine di perseguire gli obiettivi di cui al paragrafo 1.
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’, paragrafo 4.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dir:2018:1972:oj#art-40