1. Ciascuno Stato membro provvede affinché i soggetti essenziali e importanti notifichino, senza indebito ritardo, al proprio CSIRT o, se del caso, alla propria autorità competente, ai sensi del paragrafo 4, qualsiasi incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) che abbia un impatto significativo sulla fornitura dei loro servizi di cui al paragrafo 3 (incidente significativo). Se del caso, gli enti interessati notificano, senza indebito ritardo, ai destinatari dei loro servizi gli incidenti significativi che possono incidere negativamente sulla fornitura di tali servizi. Ciascuno Stato membro garantisce che tali enti comunichino, tra l'altro, tutte le informazioni che consentano al CSIRT o, se del caso, all'autorità competente di determinare l'eventuale impatto transfrontaliero dell'incidente. Il mero atto di notifica non obbliga il soggetto notificante a entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) a una maggiore responsabilità.
Quando gli enti interessati notificano all'autorità competente un incidente significativo ai sensi del primo comma, lo Stato membro garantisce che l'autorità competente inoltri la notifica al CSIRT non appena la riceve.
Nel caso di un incidente significativo transfrontaliero o intersettoriale, gli Stati membri assicurano che i loro punti di contatto unici ricevano in tempo utile le informazioni pertinenti notificate ai sensi del paragrafo 4.
2. Ove applicabile, gli Stati membri assicurano che gli enti essenziali e importanti comunichino, senza indebito ritardo, ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativaMinaccia informatica significativa Si intende una minaccia informatica che, in base alle sue caratteristiche tecniche, si può presumere abbia un impatto potenziale grave sulla rete e sui sistemi informativi di un'entità o sugli utenti dei servizi dell'entità stessa, causando danni materiali o immateriali considerevoli -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) qualsiasi misura o rimedio che i destinatari sono in grado di adottare in risposta a tale minaccia. Se del caso, le entità informano i destinatari anche della minaccia informatica significativa stessa.
3. Un incidente è considerato significativo se:
(a) ha causato o è in grado di causare gravi interruzioni operative dei servizi o perdite finanziarie per l'entità interessata;
(b) ha colpito o è in grado di colpire altre persone fisiche o giuridiche causando un danno materiale o morale considerevole.
4. Gli Stati membri provvedono affinché, ai fini della notifica di cui al paragrafo 1, gli enti interessati si rivolgano al CSIRT o, se del caso, all'autorità competente:
(a) senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui viene a conoscenza dell'incidente significativo, un allarme rapido che, se del caso, indichi se si sospetta che l'incidente significativo sia causato da atti illeciti o dolosi o possa avere un impatto transfrontaliero;
(b) senza indebito ritardo e in ogni caso entro 72 ore dalla conoscenza dell'incidente significativo, una notifica di incidente che, se del caso, aggiorna le informazioni di cui alla lettera a) e indica una valutazione iniziale dell'incidente significativo, compresi la gravità e l'impatto, nonché, se disponibili, gli indicatori di compromissione;
(c) su richiesta di un CSIRT o, se del caso, dell'autorità competente, un rapporto intermedio sugli aggiornamenti di stato pertinenti;
(d) una relazione finale entro un mese dalla presentazione della notifica dell'incidente di cui alla lettera b), comprendente quanto segue:
(i) una descrizione dettagliata dell'incidente, compresi la gravità e l'impatto;
(ii) il tipo di minaccia o la causa principale che probabilmente ha scatenato l'incidente;
(iii) misure di mitigazione applicate e in corso;
(iv) se del caso, l'impatto transfrontaliero dell'incidente;
(e) in caso di incidente in corso al momento della presentazione della relazione finale di cui alla lettera d), gli Stati membri assicurano che gli enti interessati forniscano una relazione sullo stato di avanzamento in quel momento e una relazione finale entro un mese dalla gestione dell'incidente.
In deroga al primo comma, lettera b), una fornitore di servizi fiduciariFornitore di servizi fiduciari Persona fisica o giuridica che presta uno o più servizi fiduciari in qualità di prestatore di servizi fiduciari qualificato o non qualificato - Definizione ai sensi dell'articolo 3, punto (19), del Regolamento (UE) n. 910/2014 in caso di incidenti significativi che abbiano un impatto sulla prestazione dei propri servizi fiduciari, ne informa il CSIRT o, se del caso, l'autorità competente, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui viene a conoscenza dell'incidente significativo.
5. Il CSIRT o l'autorità competente fornisce, senza indebito ritardo e, ove possibile, entro 24 ore dalla ricezione dell'allarme rapido di cui al paragrafo 4, lettera a), una risposta al soggetto notificante, compreso un feedback iniziale sull'incidente significativo e, su richiesta del soggetto, orientamenti o consigli operativi sull'attuazione di possibili misure di mitigazione. Se il CSIRT non è il destinatario iniziale della notifica di cui al paragrafo 1, gli orientamenti sono forniti dall'autorità competente in collaborazione con il CSIRT. Il CSIRT fornisce ulteriore supporto tecnico se l'ente interessato lo richiede. Se si sospetta che l'incidente significativo sia di natura criminale, il CSIRT o l'autorità competente forniscono anche indicazioni sulla segnalazione dell'incidente significativo alle autorità di polizia.
6. Se del caso, e in particolare se l'incidente significativo riguarda due o più Stati membri, il CSIRT, l'autorità competente o il punto di contatto unico informano, senza indebito ritardo, gli altri Stati membri interessati e l'ENISA dell'incidente significativo. Tali informazioni includono il tipo di informazioni ricevute in conformità al paragrafo 4. Nel fare ciò, il CSIRT, l'autorità competente o il punto di contatto unico preservano, in conformità al diritto dell'Unione o nazionale, la sicurezza e gli interessi commerciali dell'entità, nonché la riservatezza delle informazioni fornite.
7. Quando la sensibilizzazione del pubblico è necessaria per prevenire un incidente significativo o per gestire un incidente significativo in corso, o quando la divulgazione dell'incidente significativo è altrimenti nell'interesse pubblico, il CSIRT di uno Stato membro o, se del caso, la sua autorità competente e, se del caso, i CSIRT o le autorità competenti di altri Stati membri interessati, possono, dopo aver consultato l'entità interessata, informare il pubblico sull'incidente significativo o richiedere all'entità di farlo.
8. Su richiesta del CSIRT o dell'autorità competente, il punto di contatto unico trasmette le notifiche ricevute ai sensi del paragrafo 1 ai punti di contatto unici degli altri Stati membri interessati.
9. Il punto di contatto unico presenta all'ENISA ogni tre mesi una relazione di sintesi, comprendente dati anonimizzati e aggregati sugli incidenti significativi, sugli incidenti, sulle minacce informatiche e sui quasi incidenti notificati in conformità al paragrafo 1 del presente articolo e all'articolo 30. Per contribuire alla fornitura di informazioni comparabili, l'ENISA può adottare orientamenti tecnici sui parametri delle informazioni da includere nella relazione di sintesi. Ogni sei mesi l'ENISA informa il gruppo di cooperazione e la rete dei CSIRT in merito ai risultati delle notifiche ricevute.
10. I CSIRT o, se del caso, le autorità competenti forniscono alle autorità competenti ai sensi della direttiva (UE) 2022/2557 informazioni su incidenti significativi, incidenti, minacce informatiche e quasi incidenti notificati ai sensi del paragrafo 1 del presente articolo e dell'articolo 30 da parte di soggetti identificati come soggetti critici ai sensi della direttiva (UE) 2022/2557.
11. La Commissione può adottare atti di esecuzione per specificare ulteriormente il tipo di informazioni, il formato e la procedura di una notifica presentata ai sensi del paragrafo 1 del presente articolo e dell'articolo 30 e di una comunicazione presentata ai sensi del paragrafo 2 del presente articolo.
Entro il 17 ottobre 2024, la Commissione, per quanto riguarda i fornitori di servizi DNS, i registri di nomi TLD, servizio di cloud computingServizio di cloud computing Un servizio digitale che consente l'amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su più sedi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornitori, servizio di centro datiServizio di centro dati Si intende un servizio che comprende strutture, o gruppi di strutture, dedicate all'alloggiamento centralizzato, all'interconnessione e al funzionamento di apparecchiature informatiche e di rete che forniscono servizi di archiviazione, elaborazione e trasporto di dati, insieme a tutte le strutture e infrastrutture per la distribuzione di energia e il controllo ambientale -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornitori, rete di distribuzione dei contenutiRete di distribuzione dei contenuti Si intende una rete di server distribuiti geograficamente allo scopo di garantire un'elevata disponibilità, accessibilità o consegna rapida di contenuti e servizi digitali agli utenti di Internet per conto di fornitori di contenuti e servizi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornitori di servizi, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, nonché fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, adottano atti di esecuzione che specificano ulteriormente i casi in cui un incidente è considerato significativo ai sensi del paragrafo 3. La Commissione può adottare tali atti di esecuzione in relazione ad altre entità essenziali e importanti.
La Commissione scambia pareri e collabora con il gruppo di cooperazione sui progetti di atti di esecuzione di cui al primo e secondo comma del presente paragrafo, conformemente all'articolo 14, paragrafo 4, lettera e).
Tali atti di esecuzione sono adottati conformemente alla procedura d'esame di cui all'articolo 39, paragrafo 2.