Articolo 30 – Elencazione, caratterizzazione e categorizzazione delle attività e dei servizi

Home » CAPO IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (art.23-33) » Articolo 30 – Elencazione, caratterizzazione e categorizzazione delle attività e dei servizi

Sintesi Articolo 30

I soggetti essenziali e i soggetti importanti sono tenuti alla comunicazone e successivo aggiornamento di tutte le attività proprie e dei propri servizi, completo di tutti gli elementi necessari alla loro caratterizzazione e alla relativa attribuzione a una categoria di rilevanza. Dette categorie di rilevanza sono stabilite dall’Autorità nazionale competente NIS, così come il processo, le modalità e i criteri per l’elencazione delle attività e dei servizi oggetto del presente articolo. L’Autorità nazionale competente è inoltre responsabile della valutazione di conformità delle comunicazioni date dai soggetti essenziali e i soggetti importanti, richiedendo laddove necessario, integrazioni. Diversamente, qualora l’Autorità nazionale competente NIS non espliciti richiesta di adeguamento,la comunicazione fornita dai sogetti verrà presunta conforme.

1. Ai fini di cui all’articolo 24, comma 1, dal 1° maggio al 30 giugno di ogni anno a partire dalla ricezione della prima comunicazione di cui all’articolo 7, comma 3, lettera a), i soggetti essenziali e i soggetti importanti comunicano e aggiornano, tramite la piattaforma digitale di cui all’articolo 7, comma 1, un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
2. L’Autorità nazionale competente NIS stabilisce, secondo le modalità di cui all’articolo 40, comma 5, anche tenuto conto di quanto previsto dall’articolo 25, comma 1, le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi di cui al presente articolo.
3. Entro novanta giorni dalla comunicazione tramite la piattaforma digitale di cui al comma 1, l’Autorità nazionale competente NIS fornisce riscontro ai soggetti essenziali e ai soggetti importanti circa la conformità di quanto comunicato rispetto alle modalità e ai criteri di cui al comma 2. Il predetto termine può essere prorogato dall’Autorità nazionale competente NIS, per una sola volta e fino ad un massimo di ulteriori sessanta giorni, qualora sia necessario svolgere approfondimenti. Ove si renda necessario richiedere integrazioni e informazioni aggiuntive ai soggetti essenziali o importanti, i termini di cui al presente comma sono interrotti sino alla data di ricevimento delle predette integrazioni e informazioni, che sono rese entro il termine di trenta giorni dalla richiesta.
4. In assenza del riscontro di cui al comma 3 da parte dall’Autorità nazionale competente NIS entro i termini di cui al medesimo comma, la conformità di cui al comma 3 si intende convalidata.
5. Ai fini del presente articolo, l’Autorità nazionale competente NIS può avvalersi dei tavoli settoriali di cui all’articolo 11, comma 4, lettera f).

Tutti gli articoli