Articolo 37 – Misure di esecuzione

Home »  CAPO V – Monitoraggio, vigilanza ed esecuzione (art. 34-39) » Articolo 37 – Misure di esecuzione

Sintesi Articolo 37

L’Autorità nazionale competente NIS esercita poteri di esecuzione, tenendo conto degli esiti delle attività di monitoraggio, analisi e supporto.
Nell’esercizio dei suoi poteri di esecuzione può richiedere ai soggetti di fornire i dati che dimostrino l’attuazione di politiche di sicurezza informatica e del rispetto degli obblighi di trasmissione, comunicazione e notifica di cui al presente decreto. Può intimare ai soggetti interessati di eseguire su base periodica o mirata, audit sulla sicurezza, in caso di incidente significativo o di violazione. L’Autorità nazionale competente NIS può eseguire raccomandazioni e laddove la violazione proseguisse senza porvi rimedio, può intimare l’osservanza di istruzioni e porre a termine comportamenti che violano le disposizioni del presente decreto.
A rendere ulteriormente effettivo il suo ruolo esecutivo, l’Autorità individua la figura di un funzionario a supporto del soggetto interessato ai fini dell’adempimento.

  1. L’Autorità nazionale competente NIS, ai fini dell’esercizio dei suoi poteri di esecuzione, tiene anche conto degli esiti delle attività di monitoraggio, analisi e supporto di cui all’articolo 35 e delle risultanze dell’esercizio dei poteri di verifica e ispettivi di cui all’articolo 36.
  2. L’Autorità nazionale competente NIS, nell’esercizio dei suoi poteri di esecuzione può richiedere ai soggetti, dichiarandone la finalità, di fornire i dati che dimostrino l’attuazione di politiche di sicurezza informatica, quali i risultati di audit sulla sicurezza e i relativi elementi di prova, nonché le informazioni necessarie per lo svolgimento dei propri compiti istituzionali anche ai fini:

a) della valutazione delle misure di gestione dei rischi per la sicurezza informatica;

b) del rispetto degli obblighi di trasmissione, comunicazione e notifica di cui al presente decreto.

  1. L’Autorità nazionale competente NIS, nell’esercizio dei suoi poteri di esecuzione, può intimare ai soggetti:

a) di eseguire, su base periodica o mirata, audit sulla sicurezza, in particolare in caso di incidente significativo o di violazione del presente decreto da parte del soggetto. L’Autorità nazionale competente NIS non può prescrivere l’esecuzione periodica di audit di sicurezza ai soggetti importanti;

b) di eseguire scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti, se necessario in cooperazione con la medesima Autorità;

c) di attuare le raccomandazioni fornite in seguito a un audit sulla sicurezza;

d) di adempiere agli obblighi di cui al presente decreto;

e) di porre termine al comportamento che viola il presente decreto e di astenersi dal ripeterlo;

f) di attuare le istruzioni vincolanti impartite dalla medesima Autorità o di porre rimedio alle carenze individuate nell’adempimento degli obblighi di cui al presente decreto o alle conseguenze che derivano da violazioni del presente decreto;

g) ai fini dell’articolo 25, comma 9, di comunicare senza ingiustificato ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi;

h) ai fini dell’articolo 25, comma 10, di comunicare senza ingiustificato ritardo ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa, qualsiasi misura o azione correttiva che tali destinatari possono adottare in risposta a tale minaccia, nonché, se opportuno, la minaccia informatica significativa stessa;

i) ai fini dell’articolo 25, comma 11, di informare il pubblico sugli incidenti occorsi;

l) di rendere pubbliche le violazioni di cui al presente decreto.

  1. L’Agenzia per la cybersicurezza nazionale, nell’esercizio dei suoi poteri di esecuzione quale Autorità nazionale competente NIS, può intimare l’osservanza di istruzioni vincolanti per evitare il verificarsi di un incidente o per porvi rimedio.
  2. L’Autorità nazionale competente NIS può designare un proprio funzionario per supportare il soggetto interessato ai fini dell’adempimento degli obblighi di cui al presente decreto, con compiti ben definiti nell’arco di un periodo di tempo determinato, anche tramite visite in loco e a distanza. Il soggetto interessato assicura la piena collaborazione con il funzionario designato.
  3. Qualora il soggetto interessato non adempia alle disposizioni di cui ai commi 2, 3, 4 e 5, secondo periodo, l’Autorità nazionale competente NIS diffida il soggetto ad adempiere a tali disposizioni.
  4. Ai fini dei commi 2, 3, 4 e 6, l’Autorità nazionale competente NIS indica modalità e termini ragionevoli e proporzionati per adempiere nonché per riferire circa lo stato di attuazione degli adempimenti.
  5. Prima di adottare provvedimenti di cui ai commi 3 e 6, l’Autorità nazionale competente NIS notifica ai soggetti interessati le conclusioni preliminari, concedendo a questi ultimi un termine ragionevole, comunque non inferiore a quindici giorni, per presentare osservazioni.
  6. Il comma 8 non trova applicazione nei casi in cui la notifica delle conclusioni preliminari non consenta azioni immediate per prevenire un incidente o rispondervi. In tali casi l’Autorità nazionale competente NIS motiva l’omissione della notifica di cui al comma 8.
  7. Nei casi di adozione da parte dell’Autorità nazionale competente NIS di più provvedimenti successivi riconducibili alla medesima fattispecie, il comma 8 si applica esclusivamente al primo di questi provvedimenti.

Articolo precedente

Articolo successivo

Tutti gli articoli