Capo V
Art. 34
34 / 44Principi generali per lo svolgimento delle attività di vigilanza ed esecuzione
In vigore dal 16 ott 2024
1. L'Autorità nazionale competente NIS monitora e valuta il rispetto da parte dei soggetti essenziali e dei soggetti importanti degli obblighi previsti dall' e dal capo IV, nonché i relativi effetti sulla sicurezza dei sistemi informativi e di rete, svolgendo attività di vigilanza attraverso:
a) il monitoraggio, l'analisi e il supporto ai soggetti essenziali e ai soggetti importanti;
b) la verifica e le ispezioni;
c) l'adozione di misure di esecuzione;
d) l'irrogazione di sanzioni amministrative pecuniarie e accessorie.
2. L'Autorità nazionale competente NIS può conferire priorità alle attività di cui al presente capo adottando un approccio basato sul rischio.
3. L'Autorità nazionale competente NIS provvede affinché le attività di vigilanza imposte ai soggetti per quanto riguarda gli obblighi di cui al presente decreto siano effettive, proporzionate e dissuasive, tenuto conto di ciascuna fattispecie e dei criteri di cui all'.
4. L'Autorità nazionale competente NIS vigila sul rispetto, da parte degli enti della pubblica amministrazione, del presente decreto, con indipendenza operativa rispetto agli enti della pubblica amministrazione sottoposti a vigilanza.
5. L'Autorità nazionale competente NIS espone nei particolari la motivazione per l'adozione dei provvedimenti per lo svolgimento delle attività e l'esercizio dei poteri di cui al presente capo.
6. Le attività e i poteri di cui al presente capo sono rispettivamente svolte ed esercitati rispettando i diritti della difesa nonché tenendo conto delle circostanze di ciascuna fattispecie e almeno dei seguenti elementi:
a) la gravità della violazione e l'importanza delle disposizioni violate, considerando gravi in particolare:
1) le violazioni ripetute;
2) la mancata notifica di incidenti significativi o il mancato rimedio a tali incidenti;
3) il mancato rimedio alle carenze a seguito di istruzioni vincolanti emesse dall'Autorità nazionale competente NIS;
4) l'ostacolo alle attività di vigilanza di cui al presente capo;
5) la fornitura di informazioni false o gravemente inesatte relative agli obblighi di cui al presente decreto;
b) la durata della violazione;
c) eventuali precedenti violazioni pertinenti commesse dal soggetto interessato;
d) qualsiasi danno materiale o immateriale causato, incluse le perdite finanziarie o economiche, gli effetti sugli altri servizi e il numero di utenti interessati;
e) un'eventuale condotta intenzionale o negligenza da parte dell'autore della violazione;
f) qualsiasi misura adottata dal soggetto per prevenire o attenuare il danno materiale o immateriale;
g) qualsiasi adesione a codici di condotta o meccanismi di certificazione approvati;
h) il livello di collaborazione delle persone fisiche o giuridiche ritenute responsabili con l'Autorità nazionale competente NIS.
7. Gli audit sulla sicurezza, periodici e mirati, nonché le scansioni di sicurezza di cui agli , sono svolti da organismi indipendenti e si basano su valutazioni del rischio effettuate dall'Autorità nazionale competente NIS o dal soggetto sottoposto ad audit o su altre informazioni disponibili in relazione ai rischi. L'Autorità nazionale competente NIS può richiedere, anche solo in parte, di acquisire gli esiti di tali audit sulla sicurezza e di tali scansioni di sicurezza. I costi di tali audit sulla sicurezza e di tali scansioni di sicurezza sono a carico del soggetto sottoposto ad audit, salvo in casi debitamente giustificati in cui l'Autorità nazionale competente NIS decida altrimenti, in linea con il piano di risposta agli incidenti e alle crisi informatiche su vasta scala di cui all', comma 3.
8. La designazione o la mancata designazione del rappresentante di cui all', comma 3, non pregiudica lo svolgimento delle attività e l'esercizio dei poteri di cui al presente capo.
9. Le comunicazioni e le interazioni dei soggetti con l'Autorità nazionale competente NIS avvengono, in via prioritaria, per mezzo della piattaforma digitale di cui all', comma 1.
10. Con decreto del Presidente del Consiglio dei ministri, da adottare secondo le modalità di cui all', comma 1, sono stabiliti i criteri, le procedure e le modalità per lo svolgimento delle attività, l'esercizio dei poteri e l'adozione dei provvedimenti di cui al presente capo.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.legislativo:2024-09-04;138#art-34