Articolo 31 – Proporzionalità e gradualità degli obblighi

Home » CAPO IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (art.23-33) » Articolo 31 – Proporzionalità e gradualità degli obblighi

Sintesi Articolo 31

Il decreto sancisce il principio di gradualità e proporzionalità degli obblighi introdotti al presente capo. La proporzionalità a cui fa riferimento la norma attiene al grado di esposizione ai rischi, alle dimensioni e alla probabilità che si verifichino gli incidenti con annesso impatto sociale e gravità degli effetti. L’Autorità nazionale competente NIS definisce termini, modalità specifiche nonchè i tempi graduali di implementazione degli obblighi anche differenziandoli sulla base del settore o sotto-settore, della loro individuazione come soggetto importante o essenziale, nonchè della categoria di rilevanza delle attività e dei servizi che erogano o svolgono, considerando il livello di sicurezza informatica da cui ciascun soggetto parte.
Ancora, in fatto di obblighi, l’Autorità nazionale competente NIS può emanare linee guida vincolanti e raccomandazioni a supporto dei soggetti nell’implementazione degli obblighi.

  1. Ai fini di cui agli articoli 23, 24, 25, 27, 28 e 29 l’Autorità nazionale competente NIS stabilisce obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico.
  2. L’Autorità nazionale competente NIS stabilisce termini, modalità, specifiche e tempi graduali di implementazione degli obblighi di cui al comma 1, secondo le modalità di cui all’articolo 40, comma 5, anche differenziandoli in relazione:
    • a) alle categorie di rilevanza di cui all’articolo 30, comma 2, delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano;
    • b) al settore, al sottosettore e alla tipologia di soggetto, tenendo conto del grado di maturità iniziale nell’ambito della sicurezza informatica;
    • c) all’individuazione del soggetto quale essenziale o importante.
  3. L’Autorità nazionale competente NIS individua, se del caso, le fattispecie che determinano la sospensione dei termini di cui al comma 2.
  4. L’Autorità nazionale competente NIS può emanare linee guida vincolanti per l’attuazione degli obblighi di cui al presente capo.
  5. L’Autorità nazionale competente NIS può emanare raccomandazioni per supportare i soggetti nell’implementazione degli obblighi di cui al presente capo.
  6. Ai fini del presente articolo, l’Autorità nazionale competente NIS può avvalersi dei tavoli settoriali di cui all’articolo 11, comma 4, lettera f).
  7. Le comunicazioni e le interazioni dei soggetti con l’Autorità nazionale competente NIS avvengono, in via prioritaria, per mezzo della piattaforma digitale di cui all’articolo 7, comma 1.

Articolo precedente

Articolo successivo

Tutti gli articoli