Decreto legislativo - 18/05/2018 - n. 65 art. 9 - Cooperazione a livello nazionale 1

Comitato tecnico e Conferenza Unificata

L'art. 9 del d.lgs. n. 65/2018 istituisce un Comitato tecnico di raccordo, al fine di supportare le autorità di settore e l'ACN nell'adempimento dei compiti loro affidati, trattandosi di soggetti distinti con specifiche funzioni, come di seguito sinteticamente riportate.

Le autorità di settore:

– riesaminano, aggiornano regolarmente (almeno ogni due anni dopo il 9 maggio 2018) l'elenco degli OSE e sottopongono all'ACN una proposta di variazione che viene vagliata ed eventualmente integrata. Compete all'ACN la modifica dell'elenco medesimo, con proprio provvedimento, e relativa comunicazione, in relazione ai settori di competenza, alle predette autorità di settore (art. 4, comma 6, d.lgs. n. 65/2018);

– concorrono, in stretto raccordo con il punto di contatto unico e con il CSIRT italiano, all'attuazione degli obblighi di cui al decreto legislativo in esame (art. 9, comma 1, d.lgs. n. 65/2018).

L'ACN, quale autorità competente NIS e punto di contatto unico:

a) trasmette alla Commissione UE, con periodicità biennale, le informazioni per verificare l'attuazione del decreto legislativo de quo (art. 4, comma 7, d.lgs. n. 65/2018);

b) svolge, a livello europeo, una funzione di raccordo per assicurare la cooperazione transfrontaliera con le autorità competenti degli altri Stati membri, nonché con la rete di CSIRT ed il gruppo di cooperazione, anche attraverso l'elaborazione di linee guida e lo scambio di informazioni e best practice (art. 7, comma 4, e art. 10 d.lgs. n. 65/2018);

c) collabora nel gruppo di cooperazione «in modo effettivo, efficiente e sicuro» (art. 7, comma 5, d.lgs. n. 65/2018);

d) consulta e coopera con l'autorità di contrasto (preposta ad assicurare i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale) ed il Garante per la protezione dei dati personali, nel rispetto delle disposizioni normative vigenti (art. 7, comma 6, d.lgs. n. 65/2018);

e) acquisisce notizia, dal CSIRT italiano, delle notifiche degli incidenti trasmesse dagli OSE e dai fornitori di servizi digitali o «FSD» (art. 9, comma 3, d.lgs. n. 65/2018);

f) partecipa al gruppo di cooperazione per definire ed adottare orientamenti sulle circostanze in cui gli OSE hanno l'obbligo di notificare gli incidenti (art. 10, comma 2, d.lgs. n. 65/2018);

g) trasmette al gruppo di cooperazione, annualmente, una relazione sintetica sulle notifiche ricevute, comprensiva della natura degli incidenti ed azioni intraprese dagli OSE e FSD (art. 10, comma 4, d.lgs. n. 65/2018);

h) detta, ove necessario, specifiche misure per la sicurezza della rete e dei sistemi informativi, sentiti gli OSE, e predisporre linee guida per la notifica degli incidenti (art. 12, comma 4 e 7, d.lgs. n. 65/2018);

i) trasmette le notifiche ai punti di contatto unici degli altri Stati membri, su richiesta dell'autorità competente NIS o del CSIRT italiano (art. 12, comma 12, d.lgs. n. 65/2018);

j) informa il pubblico in merito ai singoli incidenti – d'intesa con il CSIRT italiano e dopo aver consultato l'OSE notificante – qualora si reputi necessario sensibilizzarlo (art. 12, comma 13, d.lgs. n. 65/2018).

Il CSIRT Italia:

– svolge i compiti e le funzioni del CERT nazionale e del CERT-PA (art. 8, comma 1, d.lgs. n. 65/2018);

– definisce le procedure per l'incident prevention and management e assicura la collaborazione nella rete di CSIRT (art. 8, comma 5 d.lgs. n. 65/2018).

Il perimetro di operatività del CISRT riguarda sia i settori elencati nell'Allegato II del d.lgs. n. 65/2018 (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali), che i servizi digitali di e-commerce, cloud computing o motori di ricerca di cui all'Allegato III (per maggiori dettagli sul significato di servizio digitale si rinvia a quanto riportato a commento del precedente art. 3 del d.lgs. n. 65/2018);

– garantisce una collaborazione «effettiva, efficiente e sicura» nella rete di CSIRT (art. 8, comma 6, d.lgs. n. 65/2018);

– informa delle notifiche l'ACN, anche quale punto di contatto unico, e l'organo presso di esso istituito/incaricato delle attività di prevenzione e preparazione ad eventuali situazioni di crisi cibernetica e di attivazione delle procedure di allertamento, ossia il Nucleo per la cybersicurezza, con il compito principale di coordinare le azioni dei diversi attori che compongono l'architettura istituzionale (art. 9, comma 3; art. 12, comma 6, e art. 14, comma 6, d.lgs. n. 65/2018);

– partecipa al gruppo di cooperazione, su richiesta del punto di contatto unico (art. 10, comma 3, d.lgs. n. 65/2018);

– garantisce la collaborazione nella rete di CSIRT, attraverso l'individuazione di forme di cooperazione operativa, lo scambio di informazioni e la condivisione di best practice (art. 11 d.lgs. n. 65/2018);

– informa gli altri Stati membri dell'UE, eventualmente coinvolti dall'incidente (art. 12, comma 9, e art. 14, comma 10, d.lgs. n. 65/2018);

– fornisce all'OSE notificante le informazioni in grado di consentire una gestione efficace dell'incidente (art. 12, comma 11 d.lgs. n. 65/2018);

– richiede al punto di contatto unico la trasmissione delle notifiche verso i punti di contatto unico degli altri Stati membri (art. 12, comma 12, d.lgs. n. 65/2018);

– può informare il pubblico in merito ai singoli incidenti qualora si reputi necessario sensibilizzarlo (artt. 12, comma 13, e 14, comma 12, d.lgs. n. 65/2018);

– tratta le notifiche degli incidenti eseguite su base volontaria da soggetti diversi dagli OSE e FSD, aventi un impatto rilevante sulla continuità dei servizi, applicando la procedura prevista per gli OSE (art. 18 d.lgs. n. 65/2018), così da accrescere il livello di sicurezza;

– esegue i compiti previsti dall'Allegato I, per i quali si rinvia a quanto riportato a commento del precedente art. 8 d.lgs. n. 65/2018.

Nel promuovere ed incentivare la collaborazione tra i predetti soggetti, il Comitato tecnico di raccordo è chiamato ad operare presso l'ACN, riunendo i rappresentanti delle amministrazioni statali individuate quali autorità di settore e da rappresentanti delle Regioni e Province autonome in numero non superiore a due, designati in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano. L'istituzione del Comitato tecnico non ha comportato nuovi oneri per le amministrazioni interessate, non essendo stati previsti gettoni di presenza, compensi o rimborsi spese – cfr. Camera dei Deputati, Relazione tecnica, 6.

L'organizzazione di tale Comitato tecnico è demandata ad un decreto del Presidente del Consiglio dei ministri, da adottare su proposta dei Ministri per la semplificazione e la pubblica amministrazione e dello sviluppo economico, previo parere della Conferenza unificata (cfr. Repertorio atto n. 18/CU 21 febbraio 2019), da non confondere con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano (c.d. Conferenza Stato-regioni) e neppure con la Conferenza Stato-città ed autonomie locali.

Nel febbraio 2019 la Conferenza Unificata ha espresso il proprio parere favorevole allo schema di decreto del Presidente del Consiglio dei ministri, recante organizzazione del Comitato tecnico di raccordo. Al termine del 2020, infine, è seguito il parere favorevole del Consiglio di Stato.

Come riportato a commento del precedente art. 4 d.lgs. n. 65/2018, la Conferenza Stato-regioni è stata istituita con d.P.C.M. 12 ottobre 1983 ed annovera tra i propri compiti quello di promuovere e sancire intese, adottare provvedimenti, esprimere pareri, favorire l'interscambio di dati e informazioni per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano. È presieduta dal Presidente del Consiglio dei ministri o su sua delega, ove nominato, dal Ministro per gli affari regionali e le autonomie; ne fanno parte, altresì, i presidenti di tutte le regioni italiane e delle province autonome, eventualmente i ministri interessati agli argomenti iscritti all'ordine del giorno ed i rappresentanti di amministrazioni dello Stato e di enti pubblici (art. 12, comma 2, l. n. 400/1988 e s.m.i.).

La Conferenza Stato-città ed autonomie locali, invece, è stata istituita con D.P.C.M. 2 luglio 1996 e ha compiti di coordinamento nei rapporti tra lo Stato e le autonomie locali, ossia i comuni, le province, le città metropolitane, le comunità montane o isolane e le unioni di comuni (cfr. art. 2 d.lgs. n. 267/2000 e s.m.i. «Testo unico delle leggi sull'ordinamento degli enti locali»; artt. 5 e 114 Cost.). A ciò si aggiungono le funzioni di dibattito ed analisi dei problemi relativi all'ordinamento ed al funzionamento degli enti locali o inerenti attività di gestione ed erogazione dei servizi pubblici, oltreché di «studio, informazione e confronto nelle problematiche connesse agli indirizzi di politica generale, che possono incidere sulle funzioni proprie o delegate di province e comuni e comunità montane» (art. 9 d.lgs. n. 281/1997). Per autonomia locale deve intendersi «il diritto e la capacità effettiva, per le collettività locali, di regolamentare ed amministrare nell'ambito della legge, sotto la loro responsabilità, e a favore delle popolazioni, una parte importante di affari pubblici» (art. 3 l. n. 439/1989 di ratifica ed esecuzione della convenzione europea relativa alla Carta europea dell'autonomia locale, firmata a Strasburgo il 15 ottobre 1985).

La Conferenza Stato-città ed autonomie locali è presieduta dal Presidente del Consiglio dei ministri o, per sua delega, dal Ministro dell'interno o dal Ministro per gli affari regionali nelle materie di rispettiva competenza (art. 8, comma 3, d.lgs. n. 281/1997); è composta da Ministro dell'economia e finanze, dal Ministro delle infrastrutture e dei Trasporti, dal Ministro della salute (quali esponenti del Governo), nonché dal Presidente dell'Associazione Nazionale dei Comuni d'Italia («ANCI»), dal Presidente dell'Unione Province d'Italia («UPI»), dal Presidente dell'Unione Nazionale Comuni, Comunità ed Enti Montani (UNCEM), da quattordici sindaci designati dall'ANCI (di cui cinque rappresentanti di città metropolitane subentrate alle province omonime – Torino, Milano, Venezia, Genova, Bologna, Firenze, Bari, Napoli e Reggio Calabria, più Roma Capitale con disciplina speciale) e da sei presidenti di Provincia designati dall'UPI (quali componenti per le autonomie locali).

La Conferenza unificata, infine, è stata istituita con il d.lgs. n. 281/1997 «Definizione ed ampliamento delle attribuzioni della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed unificazione, per le materie ed i compiti di interesse comune delle regioni, delle province e dei comuni, con la Conferenza Stato – città ed autonomie locali», che ne definisce composizione, compiti e modalità organizzative ed operative.

La Conferenza unificata è costituita dalla Conferenza Stato-regioni e dalla Conferenza Stato-città ed autonomie locali e rappresenta la sede di confronto e raccordo tra Stato, regioni ed enti locali, in cui si esaminano problematiche di interesse comune, si assumono deliberazioni, promuovono e sanciscono accordi e intese, esprimono pareri e designano rappresentanti (art. 9 d.lgs. n. 281/97). La Presidenza della Conferenza unificata è affidata al Presidente del Consiglio dei ministri o, su sua delega, al Ministro per gli Affari regionali e le Autonomie, oppure, se tale incarico non è conferito, al Ministro dell'interno (art. 8, comma 4, d.lgs. n. 281/1997).

A ciascuna delle Conferenze è, infine, conferito un ruolo di rilievo nel dialogo con l'Unione europea dalla l. n. 234/2012 recante «Norme generali sulla partecipazione dell'Italia alla formazione e all'attuazione della normativa e delle politiche dell'Unione europea»; esse sono chiamate, infatti, in specifiche circostanze a partecipare al Comitato tecnico di valutazione degli atti dell'UE, alla sessione europea della Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, nonché alla sessione europea della Conferenza Stato-città ed autonomie locali, alle decisioni relative alla formazione di atti normativi dell'Unione europea ecc. (cfr. artt. 19,22,23 e 26 l. n. 234/2012).

Dal Nucleo Sicurezza Cibernetica al Nucleo per la cybersicurezza

Il Nucleo Sicurezza Cibernetica è stato istituito nel 2013 presso l'Ufficio del Consigliere militare (D.P.C.M. 24 gennaio 2013), a supporto del Presidente del Consiglio dei ministri e del Comitato interministeriale per la sicurezza della Repubblica («CISR»), per le tematiche relative alla prevenzione e preparazione a possibili situazioni di crisi di natura cibernetica, pregiudizievoli per la sicurezza della Repubblica e delle istituzioni democratiche, nonché per l'attivazione di procedure di allertamento.

Nel febbraio 2017, il Governo ha ricondotto il Nucleo Sicurezza Cibernetica all'interno del Dipartimento delle informazioni per la sicurezza o DIS (cfr. art. 8 d.P.C.M. 17 febbraio 2017), con funzioni di raccordo tra le diverse strutture dei ministeri competenti in materia, al fine di garantire una risposta coordinata.

In seguito, il d.l. n. 82/2021 convertito in l. n. 109/2021 ha previsto all'art. 8 la costituzione in via permanente, presso l'ACN, di un Nucleo per la cybersicurezza, quale supporto del Presidente del Consiglio per tematiche di cybersicurezza, «legificando» così l'istituzione del Nucleo previsto dal d.P.C.M. 17 febbraio 2017. Tale organismo è presieduto dal direttore generale dell'ACN o, per sua delega, dal vice direttore generale e si compone di un Consigliere militare del Presidente del Consiglio, un rappresentante del Dipartimento dell'informazione per la sicurezza («DIS») e dell'Agenzia informazioni e sicurezza esterna («AISE») nonché dell'Agenzia informazioni e sicurezza interna («AISI»), un rappresentante di ciascuno dei Ministeri rappresentati nel Comitato interministeriale per la cybersicurezza di cui all'art. 6 del d.lgs. n. 65/2018 (affari esteri, interno, difesa, giustizia, economia e finanze, imprese e made in Italy, ambiente e sicurezza energetica, università e ricerca, infrastrutture e trasporti, trasformazione digitale), un rappresentante del Dipartimento della protezione civile della Presidenza del Consiglio, un rappresentante dell'Ufficio centrale per la segretezza in caso di disamina di informazioni classificate (art. 9 della l. n. 124/2007). In considerazione degli argomenti trattati di volta in volta possono anche essere chiamati a partecipare alle riunioni rappresentanti di altre amministrazioni, università o enti e istituti di ricerca, nonché di operatori privati (cfr. art. 8, commi 2 e 3, d.l. n. 82/2021 convertito con modificazioni in l. n. 109/2021).

Tra i compiti del Nucleo per la cybersicurezza, si annoverano: la promozione, programmazione e pianificazione operativa della risposta a situazioni di crisi cibernetica, da parte degli operatori pubblici e privati interessati, e l'elaborazione delle necessarie procedure di coordinamento interministeriale; la valutazione e promozione di procedure di condivisione delle informazioni, anche con gli operatori privati interessati ed in raccordo con le amministrazioni competenti, al fine di diramare gli alert e gestire gli eventi informatici; l'acquisizione di comunicazioni sui casi di violazione (o tentata violazione) della sicurezza o perdita di integrità significativi per un corretto funzionamento delle reti e dei servizi dagli organismi di intelligence (DIS, AISE, AISI), dalle Forze di polizia, dall'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, dalle strutture del Ministero della difesa, dalle altre amministrazioni che compongono il Nucleo, dai gruppi CERT; la ricezione dal CSIRT Italia le notifiche di incidente (cfr. d.P.C.M. 14 aprile 2021, n. 81); la proposta di iniziative in materia di cybersicurezza.

Nel campo dell'attivazione delle azioni di risposta e ripristino rispetto a situazioni di crisi, il Nucleo per la cybersicurezza è chiamato a valutare la necessità di assumere decisioni coordinate in sede interministeriale, laddove l'evento di sicurezza non possa essere contrastato dalle singole amministrazioni competenti in via ordinaria, ed a darne tempestiva informativa al Presidente del Consiglio o l'Autorità delegata (cfr. art. 10 del d.l. n. 82/2021 convertito in l n. 109/2021).

Alla luce di quanto sopra, le attribuzioni e competenze del Nucleo per la cybersicurezza sono volte, pertanto, a rafforzare il ruolo chiave dell'ACN, nell'ambito dell'architettura nazionale di cybersecurity.

Notifica degli incidenti

Gli operatori privati rivestono un ruolo di primo piano nell'architettura istituzionale deputata alla tutela dello spazio cibernetico nazionale.

Rientra tra i doveri degli OSE e FSD adottare le migliori pratiche nel campo della sicurezza informatica, notificare al CSIRT Italia «senza ingiustificato ritardo» gli eventi con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi (c.d. «incidenti»), dunque con un impatto rilevante rispettivamente sulla continuità del servizio essenziale o sulla fornitura del servizio digitale, affinché il CSIRT Italia medesimo possa, a sua volta, darne informazione al Nucleo per la cybersicurezza presso l'ACN, per fornire supporto al Presidente del Consiglio in ambito cybersecurity, ai fini di prevenzione/preparazione ad eventuali situazioni di crisi e di attivazione di procedure di allertamento (cfr. art. 1, comma 1, lett. f) del d.l. n. 82/2021 convertito in l. n. 109/2021; d.P.C.M. 14 aprile 2021, n. 81); successivamente, tali notifiche sono trasmesse al Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche («CNAIPIC»), incardinato nel Servizio Polizia postale e delle Comunicazioni del Dipartimento della Pubblica Sicurezza, come disposto dall'art. 3 del Decreto 9 gennaio 2008 del Ministero dell'Interno «Individuazione delle infrastrutture critiche informatiche di interesse nazionale» ai sensi degli artt. 3 e 5 del d.P.C.M. n. 81/2021 (per maggiori approfondimenti sui fattori da considerare nella determinazione della rilevanza di un impatto si rinvia a quanto riportato a commento del precedente art. 5 del d.lgs. n. 65/2018).

L'estensione del predetto obbligo informativo in capo al CSIRT italiano verso il CNAIPIC si è avuta il 22 settembre 2019, a seguito dell'entrata in vigore del d.l. 21 settembre 2019, n. 105 (pubblicato in G.U. n. 222 del 21 settembre 2019).

Come precisato a commento del precedente art. 4 del d.lgs. n. 65/2018, il d.l. n. 105/2019 è stato adottato dal Governo in considerazione della straordinaria necessità ed urgenza «di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale».

Successivamente, in data 21 novembre 2019 è entrata in vigore la l. n. 133/2019 «Conversione in legge, con modificazioni, del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica» (G.U. Serie Generale n. 272 del 20 novembre 2019); come noto, infatti, ai sensi dell'art. 77 Cost. un decreto-legge perde efficacia sin dall'inizio se non viene convertito in legge entro sessanta giorni dalla pubblicazione.

Nello specifico, l'art. 1, comma 17, lett. b), del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019, recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica», ha apportato una modifica all'art. 9, comma 3, del d.lgs. n. 65/2018, prevedendo anche il CNAIPIC quale organismo chiamato a prestare la propria collaborazione nell'adempimento degli obblighi in materia di sicurezza delle reti e dei sistemi informativi di cui al d.lgs. n. 65/2018, congiuntamente al CSIRT Italia, all'autorità competente NIS e punto di contatto unico.

Inoltre, per gli OSE e FSD, che rientrano nel perimetro di sicurezza nazionale cibernetica, il predetto decreto legge ha disposto che assolvendo l'obbligo di notifica verso il CSIRT Italia degli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici a perimetro, essi stessi ottemperano all'obbligo di notifica degli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali, prescritto dagli artt. 12 e 14 d.lgs. n. 65/2018 (per maggiori approfondimenti si veda quanto riportato a commento degli artt. 1 e 4 d.lgs. n. 65/2018) – cfr. art. 1, comma 3 lett. a) e comma 8, lett. b) del d.l. n. 105/2019, coordinato con la legge di conversione n. 133/2019 e s.m.i.

Per quanto attiene la definizione del funzionamento e dell'organizzazione del CSIRT Italia si rinvia a quanto riportato a commento del precedente art. 8 d.lgs. n. 65/2018. A decorrere dal 6 maggio 2020 il CERT-PA ed il CERT Nazionale hanno cessato le proprie attività dopo aver passato gradualmente le consegne al CSIRT-Italia, che ha messo a disposizione sul proprio sito web un form per la notifica obbligatoria o volontaria di incidenti (ai sensi degli artt. 12,14 e 18 d.lgs. n. 65/2018), da compilare ed inoltrare online previo inserimento di nome, cognome e casella e.mail e presa visione della privacy policy. Il CSIRT-Italia invia, poi, al segnalante un messaggio di posta elettronica con un link e, solo dopo l'avvenuto click di completamento, un codice alfanumerico per proseguire con la notifica. Le informazioni richieste sono distinte per tipologia di segnalante:

– Pubblica Amministrazione/Impresa/Cittadino: descrizione dell'evento e numero di telefono segnalante.

– NIS/TELCO: tipologia di notifica (volontaria ex art. 18 d.lgs. n. 65/2018 o obbligatoria ex art. 12,14 d.lgs. n. 65/2018 e, relativamente alle TELCO, ex art. 5 Decreto del Ministero dello Sviluppo Economico 12 dicembre 2018 descritto successivamente); dettagli operatore/fornitore; denominazione e ragione sociale; sede legale; tipologia di servizio fornito (essenziale o digitale, comprensivo di «telecomunicazioni»); data e ora dell'incidente o del rilevamento e sua durata; tipologia cyber/non-cyber o ibrida; codice identificativo interno o nome dell'incidente; descrizione incidente; modalità di rilevazione incidente; stato dell'incidente (concluso o in corso); reti, sistemi e funzioni incisi dall'incidente; numero di utenti interessati (in via diretta o in quanto dipendenti dal servizio colpito per l'erogazione di propri servizi); impatto stimato sull'utenza (percentuale degli utenti colpiti rispetto al totale degli utenti nazionale del servizio interessato); diffusione geografica (nazionale o transfrontaliera); portata della perturbazione del funzionamento del servizio (solo per FSD); impatto sulle interconnessioni a livello nazionale; impatto sulle attività economiche e sociali (solo per FSD); durata del disservizio; eventuale violazione dei dati personali causata dall'incidente (data breach); possibili danni materiali; altri operatori/fornitori, nazionali o comunitari, che utilizzano i servizi compromessi dell'incidente; azioni di mitigazione di impatto intraprese o da intraprendere; altre autorità o organizzazioni italiane alle quali è stato notificato l'incidente; informazioni aggiuntive (incidenti cyber/non-cyber, classificazione dell'incidente)

– Soggetti inclusi nel perimetro di sicurezza nazionale: tipologia di notifica (impatto su bene ICT ai sensi dell'art. 3, comma 1, d.P.C.M. n. 81/2021); impatto su reti/sistemi contigui di cui all'art. 3, comma 3, d.P.C.M. n. 81/2021; notifica volontaria come previsto dall'art. 4 d.P.C.M. n. 81/2021; impatto su altri beni ossia su «reti, sistemi informativi e servizi informatici di propria pertinenza diversi da quelli conferiti nel perimetro», al fine di renderne più agevole sia la notifica (da compiersi entro settantadue ore dal momento in cui se ne è a conoscenza, come previsto dall'art. 1, comma 3-bis, del d.l. n. 105/2019, convertito, con modificazioni, dalla l. 133/2019; comma 3-bis introdotto dall'art. 37-quater del d.l. n. 115/2022, convertito, con modificazioni, dalla l. n. 142/2022, mentre le tempistiche previste per le notifiche degli incidenti relativi ai beni conferiti sotto il perimetro vanno da 1 a 6 ore in relazione al tipo/gravità dell'evento), che il processo di valutazione degli impatti anche sistemici; codice identificativo del soggetto quale nome utente del portale perimetro; nominativo ed e.mail; bene ICT impattato; tipologia incidente, secondo la tassonomia di cui alla Determina 3 gennaio 2023 dell'ACN titolata «Tassonomia degli incidenti che debbono essere oggetto di notifica» (G.U. Serie Generale n. 7 del 10 gennaio 2023); descrizione evento/note aggiuntive; componenti (rete/sistema/risorsa) coinvolti; tipologie d'impatto osservate in termini di riservatezza, integrità e disponibilità; data e ora dell'incidente; funzione essenziale impattata (in caso di notifica per «impatto su bene ICT»); Indicatori di Compromissione (IOC); segnalazione valida ai fini NIS o TELCO (non presente in caso di notifica per «impatto su altri beni»).

Dal canto suo, ai fini della notifica, il gruppo di cooperazione o NIS Cooperation Group – istituito presso la Commissione europea con il compito di supportare e facilitare la collaborazione strategica e lo scambio di informazioni tra gli Stati membri dell'UE – ha pubblicato le seguenti due linee guida nel luglio 2018:

– «Guidelines on notification of Operators of Essential Services incidents. Formats and procedures», rivolto agli operatori di servizi essenziali (CG Publication 05/2018);

– «Guidelines on notification of Operators of Digital Service Providers incidents. Formats and procedures», indirizzato ai fornitori di servizi digitali (CG Publication 06/2018).

Con tali documenti, sono state fornite indicazioni (non vincolanti) su format e procedure per la notifica degli incidenti da parte degli OES e FSD, al fine di renderli il più possibile omogenei/allineati in ambito europeo e porre le basi per: una collaborazione transfrontaliera efficiente tra autorità e/o CSIRT nei diversi paesi dell'UE (es. tramite la tassonomia ed un set minimo di dati comune); un'analisi ed aggregazione maggiormente efficace delle informazioni da parte del gruppo di cooperazione, volta ad identificare le cause dell'evento (c.d. «root cause analysis»), salvaguardando la riservatezza delle notifiche e dell'identità del notificante; efficienza e oneri amministrativi, in considerazione del fatto che gli OSE spesso operano in diversi Stati membri (non riportata nelle linee guida per FSD).

Gli elementi da inserire nel template di notifica sono la natura dell'incidente (es. minaccia, gravità, causa), l'impatto (es. settore e servizio essenziale colpito, numero di utenti, durata, diffusione geografica), le informazioni di contatto ed operative (es. azioni intraprese, stato dell'incidente), le informazioni sulla minaccia e sugli asset interessati, l'analisi post-incidente con storico degli eventi trattati.

Tra i metodi di notifica sono elencati e-mail, form online, web service API, telefono, video-chiamata; a prescindere dal metodo utilizzato, nelle predette linee guida si sottolinea l'importanza dell'adozione di misure tecniche e di sicurezza quali: la cifratura, a tutela della confidenzialità delle informazioni; l'autenticazione, per la riconducibilità della notifica ad un determinato operatore; la conferma di ricezione della notifica (Nis Cooperation Group, CG Publication 05/2018, 12 ss.).

Si ricorda, come riportato a commento del precedente art. 5 d.lgs. n. 65/2018, che i fornitori di servizi digitali sono chiamati, altresì, ad applicare le disposizioni di attuazione dei regolamenti di esecuzione della Commissione europea, che specificano parametri, format e procedure, inerenti agli obblighi di notifica – cfr. Reg. di esecuzione (UE) 2018/151.

Oltre a ciò, si evidenzia che per supportare le agenzie governative e le organizzazioni private (es. CSIRT, amministratori di rete, Chief Information Security Officer, Chief Information Officer) nella mitigazione dei rischi legati all'information security e nella risposta efficace ed efficiente agli incidenti di sicurezza, il National Institute of Standard and Technology («NIST»), organizzazione statunitense responsabile per lo sviluppo di standard e linee guida per la sicurezza delle informazioni, nel 2012 ha emesso un'apposita linea guida titolata «Computer Security Incident Handling Guide, Recommendations of the National Institute of Standards and Technology» (cfr. Nist, Special Publication (SP) 800-61, Rev. 2).

Il NIST ha successivamente pubblicato:

– una versione aggiornata del «Framework for Improving Critical Infrastructure Cybersecurity» del 2014, comprensivo di standard, linee guida, best practice, metodologie, requisiti, controlli, che possono essere volontariamente adottati/in- nestati nei processi organizzativi, al fine di ridurre/gestire al meglio il rischio correlato alla sicurezza informatica e promuovere la protezione e resilienza delle infrastrutture critiche e/o di altri settori importanti per l'economia (aprile 2018);

– una versione aggiornata del documento di accompagnamento del Framework, ossia «NIST Roadmap for Improving Critical Infrastructure Cybersecurity» del 2014, che descrive i prossimi passi del NIST ed identifica le aree «chiave» di sviluppo e collaborazione (es. supply chain risk management, IoT, cyber-attack lifecycle), per il miglioramento continuo della sicurezza delle infrastrutture critiche (aprile 2019).

In Italia, nel febbraio 2019 è stato pubblicato il «Framework Nazionale per la Cybersecurity e la Data Protection», ispirato al Framework del NIST (si tratta di una versione aggiornata rispetto a quella presentata nel 2015 «Framework Nazionale per la Cybersecurity»), ma ampliato in ragione del contesto nazionale con l'introduzione dei livelli di maturità delle attività di cybersecurity e data protection e dei livelli di priorità per l'implementazione di pratiche di sicurezza previste da disposizioni normative vigenti o standard di settore (es. ISO/IEC, COBIT).

Tale documento, nato dalla collaborazione tra il mondo accademico (CIS – Sapienza, CINI Cybersecurity National Lab) e quello degli enti pubblici e imprese private, si propone di «supportare le organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber» e contiene «contributi volti a cogliere gli aspetti fondamentali legati alla protezione dei dati», conformemente a quanto previsto dal Reg. (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la dir. 95/46/CE.

A quanto detto si aggiunge che in data 14 dicembre 2022 è stata definitivamente approvata la dir. (UE) 2022/2555 «relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)».

La direttiva NIS 2, che abroga e sostituisce la direttiva NIS con effetto a decorrere dal 18 ottobre 2024 (si veda quanto riportato a commento dell'art. 1 del d.lgs. n. 65/2018), amplia il proprio campo di applicazione, distinguendo tra soggetti essenziali ed importanti in luogo di OSE o FSD, e prevede in capo a tali soggetti un obbligo di notifica di un incidente «significativo» sulla fornitura dei servizi (dunque con «una grave perturbazione operativa dei servizi o perdite finanziarie» per i soggetti medesimi oppure con ripercussioni su altre persone fisiche o giuridiche, determinando «perdite materiali o immateriali considerevoli»). La segnalazione al CSIRT o alle autorità competenti deve avvenire con tempi certi, quali:

– senza indebito ritardo e, in ogni caso, entro ventiquattro ore da quando se ne ha conoscenza. Si tratta di un «preallarme» con cui indicare, ove opportuno, se l'incidente significativo può derivare da atti illeciti o malevoli o può avere un impatto transfrontaliero, che richiede risposte coordinate;

– senza ingiustificato ritardo e comunque entro settantadue ore da quando si ha conoscenza dell'incidente significativo, allo scopo, in particolare, di aggiornare le informazioni trasmesse nel preallarme e di fornire una valutazione iniziale, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione. Entro un mese dalla trasmissione di tale notifica, deve essere presentata, poi, una relazione finale, con i dettagli dell'incidente, la tipologia di minaccia o la causa che probabilmente ha generato all'incidente, le misure di remediation messe in campo e, laddove opportuno, l'impatto a livello transfrontaliero dell'incidente. Laddove il segnalante sia un prestatore di servizi fiduciari, l'obbligo, in deroga al predetto termine di settantadue ore, è quello di informare il CSIRT o, se opportuno, l'autorità competente senza indebito ritardo e comunque entro ventiquattro ore da quando è venuto a conoscenza dell'incidente significativo, con impatto sulla fornitura dei propri servizi fiduciari (cfr. art. 42 direttiva NIS 2). Tale obbligo si sostituisce a quello di cui all'art. 19 del reg. (UE) 910/2014, che disciplina, invece, un dovere di notifica «senza indugio, ma in ogni caso entro ventiquattro ore dall'esserne venuti a conoscenza [omissis] tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi».

Peraltro, se opportuno, i già menzionati soggetti «notificano senza indebito ritardo ai destinatari dei loro servizi gli incidenti che possono ripercuotersi negativamente sulla fornitura di tali servizi» (considerando 102 e art. 23 direttiva NIS 2), indicando, altresì, le misure che questi ultimi possono adottare per rispondere alle conseguenze dell'evento. Per incidente con impatto «significativo» sulla fornitura dei servizi deve intendersi un incidente con ripercussioni, anche solo potenziali, su altre persone (fisiche o giuridiche), determinando «perdite materiali o immateriali considerevoli» oppure tale da causare «una grave perturbazione operativa dei servizi o perdite finanziarie» per il soggetto medesimo (art. 23, paragrafo 3, direttiva NIS 2).

  Nel mese di febbraio 2024 è stato presentato il disegno di legge «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» (A.C. 1717) per dare una risposta sostanziale all'aumento delle minacce da attacchi cibernetici e una risposta politica alle vicende in materia di «accessi abusivi e di indebita diffusione di informazioni confidenziali e di segnalazioni di operazioni sospette (SOS) [su esponenti politici, n.d.r.]» (cfr. Camera dei Deputati, Esame del disegno di legge AC 1717 in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, 3 ss.). Tali vicende hanno sollevato il tema della tutela della riservatezza delle informazioni trattate dalle autorità preposte alla prevenzione e contrasto dei fenomeni di riciclaggio e di finanziamento del terrorismo. La prima parte del disegno di legge «anticipa» la normativa di recepimento della direttiva (UE) 2022/2555 («NIS 2») all'interno dell'ordinamento italiano, con l'obiettivo di «sviluppare  capacità  nazionali di  prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici»; si individua così un extra perimetro, che comprende non solo i soggetti destinatari delle misure previste dalla direttiva (UE) 2016/1148 («NIS») ed i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, ma anche altre/i organizzazioni/enti. In particolare, l'art. 3 del predetto disegno di legge dispone che i soggetti inclusi nel perimetro di sicurezza provvedono non solo alla notifica entro 72 ore, ma anche alla segnalazione degli incidenti che intervengono su reti, sistemi informativi e servizi informatici al di fuori del perimetro di pertinenza, senza ritardo e comunque al massimo entro 24 ore, al fine di coordinare il d.l. n. 105/2019 con le modifiche introdotte all'art. 1 del disegno di legge de quo. Con analoga finalità viene prevista altresì l'applicazione della sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000, in caso di reiterata inosservanza dell'obbligo di notifica. Infine, la seconda parte del disegno di legge è relativa all'incremento delle sanzioni oltre a introdurre nuove fattispecie di reato (cfr. Senato della Repubblica – Camera dei Deputati, Dossier XIX Legislatura n. 257/2, 3 ss.).

Codice delle comunicazioni elettroniche

La l. n. 217/2011 rubricata «Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee – Legge comunitaria 2010» ha delegato il Governo ad adottare uno o più decreti legislativi, recanti le norme di attuazione delle dir. 2009/136/CE e 2009/140/CE, attraverso l'adeguamento e l'integrazione delle disposizioni legislative in materia di comunicazione elettroniche, di protezione dei dati personali e di tutela della vita privata nel settore delle comunicazioni elettroniche e di apparecchiature radio e apparecchiature terminali di telecomunicazione. Le citate direttive hanno modificato il quadro regolamentare delle comunicazioni elettroniche (2002/19/CE, 2002/20/CE, 2002/21/CE, 2002/22/CE, 2002/58/CE, 2002/77/CE), attuato nell'ordinamento italiano, con il d.lgs. n. 259/2003, recante il Codice delle comunicazioni elettroniche e, sul fronte della protezione dei dati personali, con il d.lgs. n. 196/2003 e s.m.i.

Con successivo d.lgs. n. 70/2012 è stata recepita sia la dir. 2009/140/CE «recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica», che la dir. 2009/136/CE «recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori».

Le modifiche introdotte dal legislatore europeo hanno avuto come obiettivo quello di rafforzare il mercato interno dei Paesi dell'UE e, in particolare, le prescrizioni in materia di sicurezza ed integrità delle reti, a garanzia degli utenti, anche tramite il raccordo con l'ENISA.

Il d.lgs. n. 70/2012 è, così, intervenuto puntualmente sugli articoli del Codice delle comunicazioni elettroniche e relativi allegati conformemente al dettato comunitario e ai criteri di delega contenuti nella legge comunitaria 2010. Nello specifico, l'art. 14 del d.lgs. n. 70/2012 ha inserito gli art. 16-bis «Sicurezza e integrità» e 16-ter «Attuazione e controllo» in attuazione, rispettivamente, degli artt. 13-bis e 13-ter della dir. 2002/21/CE.

L'art. 16-bis ha attribuito al Ministero delle Sviluppo Economico o «MISE» (la cui denominazione è cambiata in Ministero delle Imprese e del Made in Italy o «MIMIT») il compito di individuare adeguate misure per la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico, l'integrità delle reti, la prevenzione e la limitazione delle conseguenze degli incidenti per gli utenti e per le reti interconnesse.

In riferimento a ciò, il MISE ha adottato il d.m. 12 dicembre 2018 «Misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi», applicabile ai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico, con «un numero di utenti effettivo pari o superiore ad un milione» o «un numero di utenti effettivo pari o superiore all'1% della base di utenti nazionale per ciascun servizio di cui al comma 1 [accesso alla rete fissa o mobile, da postazione fissa o da terminale mobile, n.d.r.], calcolato sulla base dei dati pubblicati dall'Osservatorio trimestrale delle comunicazioni a cura dell'Autorità per le garanzie nelle comunicazioni» (art. 3 d.m. 12 dicembre 2018). Con l'entrata in vigore del D.P.C.M. 15 giugno 2022, a partire dal 1° luglio 2022 tutte le funzioni in materia di cybersicurezza già attribuite al MISE (di cui all'art. 7 del d.l. n. 82/2021, convertito in l. n. 109/2021), sono state trasferite all'ACN.

Ebbene, con il decreto ministeriale, il MISE ha:

– individuato adeguate misure di natura tecnico-organizzative, al fine di conseguire un livello di sicurezza delle reti adeguato al rischio esistente e di garantire la disponibilità e continuità dei servizi su tali reti, prevenendo e limitando gli impatti di incidenti, che possono pregiudicare gli utenti e le reti interconnesse (es. politica sicurezza, gestione rischi, struttura organizzativa con ruoli e responsabilità, gestione accessi in ambito sicurezza fisica e logica, gestione operativa, monitoraggio, test e controllo);

– stabilito i parametri che definiscono la significatività di un incidente di sicurezza, ai fini della notifica, quali la durata del disservizio e la percentuale degli utenti colpiti rispetto al totale degli utenti nazionali del servizio interessato (durata > 1 ora e % di utenti colpiti > 15%; durata > 2 ore e % di utenti colpiti > 10%; durata > 4 ore e % di utenti colpiti > 5%; durata > 6 ore e % di utenti colpiti > 2%; durata > 8 ore e % di utenti colpiti > 1%).

In virtù del decreto è stato posto in capo ai fornitori di servizi di comunicazione elettronica l'obbligo di segnalare, entro ventiquattro ore dall'avvenuta rilevazione, ogni incidente di sicurezza «significativo» al Computer Security Incident Response Team («CSIRT») e di inviare entro 5 giorni un rapporto di dettaglio, nonché un successivo rapporto integrativo in caso di eventuali, ulteriori informazioni rilevanti, da trasmettere con la massima sollecitudine (art. 5).

Il successivo d.lgs. n. 207/2021, di attuazione della dir. (UE) 2018/1972, che ha istituito il Codice europeo delle comunicazioni elettroniche, ha apportato diverse modifiche al d.lgs. n. 259/2003 e s.m.i. «Codice delle comunicazioni elettroniche». In particolare, gli artt. 16- bis e 16- ter sono stati sostituiti dagli artt. 40 e 41 (di recepimento degli artt. 40-41 della dir. (UE) 2018/1972), ai sensi dei quali i fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico sono tenuti a:

a) adottare adeguate e proporzionate misure di natura tecnica e organizzativa, individuate dall'ACN, tenuto conto delle misure tecniche e organizzative che possono essere adottate dalla Commissione europea, ai sensi dell'art. 40, paragrafo 5, dir. (UE) 2018/1972;

b) comunicare all'ACN e al CSIRT, istituito ai sensi dell'art. 8 d.lgs. n. 65/2018, ogni «significativo» incidente di sicurezza. A tal fine, i casi in cui un incidente è «significativo» sono individuati da ACN considerando, ove disponibili, parametri quali: numero di utenti interessati; durata; diffusione geografica della zona interessata; misura in cui è colpito il funzionamento della rete o del servizio; portata dell'incidenza sulle attività economiche e sociali. In caso di notifica di incidente di sicurezza che determini anche una violazione di dati personali, l'ACN fornisce, senza ritardo, al Garante per la protezione dei dati personali le informazioni utili ai fini di cui all'art. 33 del Reg. (UE) 2016/679;

c) provvedere ad informare gli utenti potenzialmente interessati dalla minaccia, particolare e significativa di incidenti di sicurezza, riguardo a eventuali misure di protezione o rimedi cui possono ricorrere (ove l'ACN non provveda direttamente);

d) applicare le istruzioni vincolanti, eventualmente impartite dall'ACN, anche con riferimento alle misure necessarie per porre rimedio a un incidente di sicurezza o per evitare che si verifichi nel caso in cui sia stata individuata una minaccia significativa.

Con effetto a decorrere dal 18 ottobre 2024, tuttavia, i citati artt. 40 e 41 dir. (UE) 2018/1972 saranno soppressi ed ai predetti fornitori si applicheranno le disposizioni di cui alla dir. (UE) 2022/2555 («direttiva NIS 2»), al fine di semplificare gli obblighi a loro carico e consentire loro di beneficiare del mutato framework normativo – cfr. considerando 92 e art. 43 direttiva NIS 2 (per dettagli si rinvia a quanto riportato a commento dell'art. 1 del d.lgs. n. 65/2018). Per valutarne gli impatti sull'attuale formulazione del Codice delle comunicazioni elettroniche occorrerà, dunque, attendere l'intervento del legislatore italiano, in sede di recepimento della direttiva NIS 2.

Sanzioni per omessa notifica

Salvo che il fatto costituisca reato, la violazione da parte degli OSE e FSD dell'obbligo di notifica al CSIRT italiano degli incidenti aventi un impatto rilevante sulla continuità del servizio essenziale o sulla fornitura del servizio digitale, comporta l'irrogazione di una sanzione amministrativa pecuniaria fino ad un massimo di 125.000 euro (art. 21, commi 3 e 6, d.lgs. n. 65/2018); l'eventuale reiterazione determina l'aumento fino al triplo della sanzione prevista (art. 8-bis l. n. 689/1981, recante modifiche al sistema penale italiano).

Nel caso di omessa notifica da parte di un OSE, dipendente da terze parti che fornisce servizi digitali per la fornitura di un servizio indispensabile al mantenimento di attività economiche e sociali fondamentali, si applica una sanzione amministrativa pecuniaria fino a 120.000 euro.

Qualora, poi, l'evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi implichi anche una violazione di dati personali o personal data breach – da intendersi quale accadimento doloso o colposo che comporta «accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati» ai sensi dell'art. 4, paragrafo 1, n. 12 del Reg. (UE) 2016/679 – l'ACN e le autorità di settore, informati dell'incidente, consultano e cooperano per gli ambiti di rispettiva competenza con il Garante per la protezione dei dati personali, nel rispetto delle disposizioni normative vigenti (art. 7, comma 6, e art. 9, comma 3 d.lgs. n. 65/2018).

Per quanto attiene, invece, la direttiva NIS 2, si evidenzia che in caso di violazione degli obblighi di notifica di cui all'art. 23, è dovere degli Stati Membri provvedere affinché ai soggetti essenziali ed importanti si applichino sanzioni pecuniarie amministrative pari a: un massimo di almeno 10 Mln/€ o di almeno il 2% del totale del fatturato mondiale annuo per l'esercizio precedente dell'impresa cui il soggetto appartiene, se tale importo è superiore (nel primo caso); un massimo di almeno 7 Mln/€ o di almeno l'1,4 % del totale del fatturato mondiale annuo per l'esercizio precedente se tale importo è superiore (nel secondo caso). Tuttavia, qualora la violazione degli obblighi di notifica, di cui all'art. 23, comporti un personaldata breach, si applicherà l'ammenda amministrativa pecuniaria del Reg. (UE) 2016/679, in luogo delle predette sanzioni. Le sanzioni amministrative pecuniarie, imposte ai soggetti essenziali e importanti, devono essere «effettive, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso» (es. reiterazione della violazione, danni causati, eventuale adesione a codici di condotta) – cfr. artt. 58, paragrafo 2, lett. i), e 83 Reg. (UE) 2016/679, nonché artt. 32, paragrafo 7, 34 e 35 direttiva NIS 2.

In aggiunta alle sanzioni amministrative pecuniarie, le autorità competenti degli Stati membri possono imporre delle misure di vigilanza e di esecuzione, quali a titolo esemplificativo ma non esaustivo: avvertimenti sulle violazioni; ingiunzione ai soggetti interessati di porre termine ad una violazione della direttiva NIS 2; informativa ai fruitori dei propri servizi (persone fisiche o giuridiche), potenzialmente interessati, sulle minacce informatiche e sulle contromisure da adottare; sospensione temporanea di un certificato o di un'autorizzazione relativi ai servizi o delle attività pertinenti svolti dal soggetto essenziale; ispezioni in loco; audit (artt. 32 e 33 direttiva NIS 2).