Home » CAPO IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (art.23-33) » Articolo 26 – Notifica volontaria di informazioni pertinenti
Sintesi Articolo 26
Il decreto introduce la possibilità di trasmettere su base volontaria informazioni diverse dagli incidenti ad impatto significativo, quali quasi-incidenti e minacce informatiche. A inoltrare la notifica possono essere i soggetti essenziali e i soggetti importanti, ma anche altri soggetti non rientranti nel campo di applicazione del decreto.
Il CSIRT, al di fuori dei casi in cui l’onere sia eccessivo e sproporzionato all’evento, procede secondo le modalità previste per le ordinarie notifiche.
1. In aggiunta all’obbligo di notifica di incidente di cui all’articolo 25, possono essere trasmesse, su base volontaria, notifiche al CSIRT Italia da parte dei:
a) soggetti essenziali e soggetti importanti, per quanto riguarda gli incidenti diversi da quelli di cui all’articolo 25, comma 1, le minacce informatiche e i quasi-incidenti;
b) soggetti diversi da quelli di cui alla lettera a), indipendentemente dal fatto che ricadano o meno nell’ambito di applicazione del presente decreto, per quanto riguarda gli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi, le minacce informatiche e i quasi-incidenti.
2. Il CSIRT Italia:
a) tratta le notifiche volontarie applicando la procedura di cui all’articolo 25;
b) tratta le notifiche di incidente di cui all’articolo 25 prioritariamente rispetto alle notifiche volontarie;
c) tratta le notifiche volontarie soltanto qualora ciò non costituisca un onere sproporzionato o eccessivo.
3. Fatte salve le esigenze di indagine, accertamento e perseguimento di reati, la notifica volontaria di cui al comma 1 non può avere l’effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica.