Il decreto pone in capo ai soggetti importanti e ai soggetti essenziali l’obbligo di adottare misure tecniche operative e organizzative adeguate e proporzionate tali da gestire i rischi per la sicurezza informatica. L’intento dell’articolo ? quello di far adoperare ai soggetti un livello di misure di gestione adeguato ai rishi esistenti e proporzionato ai rischi a cui ? esposto il soggetto in relazione alla dimensione, alla probabilit? che si manifestino gli incidenti e alla gravit? degli incidenti stessi in termini di impatto sociale ed economico.
Le misure tecniche mirano alla protezione dei sistemi informativi e di rete nonch? alla protezione fisica dell’ambiente in cui si opera. Il decreto elenca le misure minime che ciascun soggetto deve implementare, quali la garanzia della continuit? operativa, l?adozione di un sistema di gestione e analisi dei rischi, pratiche di igiene informatica,la messa in sicurezza della catena di approvvigionamento nonch? l? utilizzo di crittografia o cifratura, considerando oltre che l’impatto sui propri servizi e la dimensione, anche le vulnerabilit? specifiche per ogni rapporto diretto con il fornitore e per il prodotto nel suo complesso e per la sicurezza informatica applicata. Il soggetto nel identificare il livello di misure tecniche pi? indicato alla sua attivit? si serve dei risultati delle valutazioni coordinate dei rischi per la sicurezza informatica effettuate dal Gruppo di coordinamento NIS.
Qualora il soggetto non fosse conforme con gli obblighi di adozione e implementazione di misure di gestione, deve tempestivamente porre in essere le correzioni appropriate e proporzionate.