Articolo 34 – Principi generali per lo svolgimento delle attività di vigilanza ed esecuzione

Home » CAPO V – Monitoraggio, vigilanza ed esecuzione (art. 34-39) » Articolo 34 – Principi generali per lo svolgimento delle attività di vigilanza ed esecuzione

Sintesi Articolo 34

Il decreto attribuisce in capo all’Autorità nazionale competente NIS di valutare il rispetto da parte dei soggetti essenziali ed i soggetti importanti degli obblighi in materia di registrazione alla piattaforma. Essa provvede all’esercizio dei suoi poteri attraverso il monitoraggio, l’analisi e il supporto ai soggetti essenziali e ai soggetti importanti, effettuando verifiche ed ispezioni. Laddove risultino inosservanze degli obblighi di cui al decreto, l’Autorità procede con l’adozione di misure di esecuzione e l’irrogazione di sanzioni amministrative pecuniarie e accessorie. Il decreto NIS2 impone all’Autorità nazionale competente di considerare, nell’esercizio dei suoi poteri e nello svolgimento delle sue attività, elementi rilevanti quali la ripetitività delle violazioni, la durata delle violazioni, ovvero la fornitura di informazioni false o gravemente inesatte, qualsiasi danno materiale o immateriale causato.

  1.  L’Autorità nazionale competente NIS monitora e valuta il rispetto da parte dei soggetti essenziali e dei soggetti importanti degli obblighi previsti dall’articolo 7 e dal capo IV, nonché i relativi effetti sulla sicurezza dei sistemi informativi e di rete, svolgendo attività di vigilanza attraverso:
    • a) il monitoraggio, l’analisi e il supporto ai soggetti essenziali e ai soggetti importanti;
    • b) la verifica e le ispezioni;
    • c) l’adozione di misure di esecuzione;
    • d) l’irrogazione di sanzioni amministrative pecuniarie e accessorie.
  2. L’Autorità nazionale competente NIS può conferire priorità alle attività di cui al presente capo adottando un approccio basato sul rischio.
  3. L’Autorità nazionale competente NIS provvede affinchè le attività di vigilanza imposte ai soggetti per quanto riguarda gli obblighi di cui al presente decreto siano effettive, proporzionate e dissuasive, tenuto conto di ciascuna fattispecie e dei criteri di cui all’articolo 31.
  4. L’Autorità nazionale competente NIS vigila sul rispetto, da parte degli enti della pubblica amministrazione, del presente decreto, con indipendenza operativa rispetto agli enti della pubblica amministrazione sottoposti a vigilanza.
  5. L’Autorità nazionale competente NIS espone nei particolari la motivazione per l’adozione dei provvedimenti per lo svolgimento delle attività e l’esercizio dei poteri di cui al presente capo.
  6. Le attività e i poteri di cui al presente capo sono rispettivamente svolte ed esercitati rispettando i diritti della difesa nonché tenendo conto delle circostanze di ciascuna fattispecie e almeno dei seguenti elementi:
    • a) la gravità della violazione e l’importanza delle disposizioni violate, considerando gravi in particolare:
      • 1) le violazioni ripetute;
      • 2) la mancata notifica di incidenti significativi o il mancato rimedio a tali incidenti;
      • 3) il mancato rimedio alle carenze a seguito di istruzioni vincolanti emesse dall’Autorità nazionale competente NIS;
      • 4) l’ostacolo alle attività di vigilanza di cui al presente capo;
      • 5) la fornitura di informazioni false o gravemente inesatte relative agli obblighi di cui al presente decreto;
    • b) la durata della violazione;
    • c) eventuali precedenti violazioni pertinenti commesse dal soggetto interessato;
    • d) qualsiasi danno materiale o immateriale causato, incluse le perdite finanziarie o economiche, gli effetti sugli altri servizi e il numero di utenti interessati;
    • e) un’eventuale condotta intenzionale o negligenza da parte dell’autore della violazione;
    • f) qualsiasi misura adottata dal soggetto per prevenire o attenuare il danno materiale o immateriale;
    • g) qualsiasi adesione a codici di condotta o meccanismi di certificazione approvati;
    • h) il livello di collaborazione delle persone fisiche o giuridiche ritenute responsabili con l’Autorità nazionale competente NIS.
  7. Gli audit sulla sicurezza, periodici e mirati, nonché le scansioni di sicurezza di cui agli articoli 35 e 37, sono svolti da organismi indipendenti e si basano su valutazioni del rischio effettuate dall’Autorità nazionale competente NIS o dal soggetto sottoposto ad audit o su altre informazioni disponibili in relazione ai rischi. L’Autorità nazionale competente NIS può richiedere, anche solo in parte, di acquisire gli esiti di tali audit sulla sicurezza e di tali scansioni di sicurezza. I costi di tali audit sulla sicurezza e di tali scansioni di sicurezza sono a carico del soggetto sottoposto ad audit, salvo in casi debitamente giustificati in cui l’Autorità nazionale competente NIS decida altrimenti, in linea con il piano di risposta agli incidenti e alle crisi informatiche su vasta scala di cui all’articolo 13, comma 3.
  8. La designazione o la mancata designazione del rappresentante di cui all’articolo 5, comma 3, non pregiudica lo svolgimento delle attività e l’esercizio dei poteri di cui al presente capo.
  9. Le comunicazioni e le interazioni dei soggetti con l’Autorità nazionale competente NIS avvengono, in via prioritaria, per mezzo della piattaforma digitale di cui all’articolo 7, comma 1.
  10. Con decreto del Presidente del Consiglio dei ministri, da adottare secondo le modalità di cui all’articolo 40, comma 1, sono stabiliti i criteri, le procedure e le modalità per lo svolgimento delle attività, l’esercizio dei poteri e l’adozione dei provvedimenti di cui al presente capo.

Articolo precedente

Articolo successivo

Tutti gli articoli