Articolo 7 – Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti

Home » CAPO I – Disposizioni Generali (art. 1- 8) » Articolo 7 – Identificazione ed elencazione dei soggetti essenziali e dei soggetti importanti

Sintesi Articolo 7

Il decreto introduce un obbligo di registrazione (o aggiornamento) sulla piattaforma dell’Autorità competente NIS , dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del decreto, per i soggetti a cui si applica il decreto. Il presente articolo esplicita gli elementi di cui deve essere costituita la registrazione e il termine annuale di presentazione di quest’ultima. Entro il 31 marzo di ogni anno, l’Agenzia per la cybersicurezza nazionale procede alla redazione di un elenco dei soggetti essenziali e dei soggetti importanti o all’esclusione da quest’ultimo, qualora il soggetto non presenti i requisiti richiesti per le due suddette categorie. Il decreto prevede in caso di ammissione della registrazione, di modificare alcuni elementi dandone comunicazione all’Autorità (ACN).

  1. Dal 1° gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del presente decreto, i soggetti di cui all’articolo 3, si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’ Autorità nazionale competente NIS ai fini dello svolgimento delle funzioni attribuite all’Agenzia per la cybersicurezza nazionale anche ai sensi del presente decreto. A tal fine, tali soggetti forniscono o aggiornano almeno le informazioni seguenti:
    • a) la ragione sociale;
    • b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
    • c) la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
    • d) ove applicabile, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli allegati I, II, III e IV;
  2. Entro il 31 marzo di ogni anno successivo alla data di entrata in vigore del presente decreto, l’Autorità nazionale competente NIS, redige, secondo le modalità di cui all’articolo 40, comma 5, l’elenco dei soggetti essenziali e dei soggetti importanti, sulla base delle registrazioni di cui al comma 1 e delle decisioni adottate ai sensi degli articoli 3, 4, e 6.
  3. Tramite la piattaforma digitale di cui al comma 1, l’Autorità nazionale competente NIS comunica ai soggetti registrati di cui al comma 2:
    • a) l’inserimento nell’elenco dei soggetti essenziali o importanti;
    • b) la permanenza nell’elenco dei soggetti essenziali o importanti;
    • c) l’espunzione dall’elenco dei soggetti.
  4. Dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del presente decreto, tramite la piattaforma digitale di cui al comma 1, i soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b), forniscono o aggiornano almeno le informazioni seguenti:
    • a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
    • b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del presente decreto;
    • c) i responsabili di cui all’articolo 38, comma 5, indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono;
    • d) un sostituto del punto di contatto di cui al comma 1, lettera c), indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.
  5. I fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonchè i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network, forniscono all’ Autorità nazionale competente NIS, secondo le modalità di cui al comma 4, anche:
    • a) l’indirizzo della sede principale e delle altre sedi del soggetto nell’Unione europea;
    • b) se non è stabilito nell’Unione europea, l’indirizzo della sede del suo rappresentante ai sensi dell’articolo 5, comma 3, unitamente ai dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono.
  6. L’Autorità nazionale competente NIS stabilisce, secondo le modalità di cui all’articolo 40, comma 5, i termini, le modalità e i procedimenti di utilizzo e accesso alla piattaforma digitale di cui al comma 1, indicando altresì eventuali ulteriori informazioni che i soggetti devono fornire ai sensi dei commi 1 e 4, nonché i termini, le modalità e i procedimenti di designazione dei rappresentanti di cui all’articolo 5, comma 3.
  7. I soggetti che hanno ricevuto la comunicazione di cui al comma 3, lettere a) e b), notificano all’ Autorità nazionale competente NIS, tramite la piattaforma digitale di cui al comma 1, qualsiasi modifica delle informazioni trasmesse ai sensi del presente articolo tempestivamente e, in ogni caso, entro quattordici giorni dalla data della modifica.

Articolo precedente

Articolo successivo

Tutti gli articoli