Decreto legislativo - 18/05/2018 - n. 65 art. 18 - Notifica volontaria 1Notifica volontaria1
[1. I soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali possono notificare, su base volontaria, gli incidenti aventi un impatto rilevante sulla continuita' dei servizi da loro prestati. 2. Nel trattamento delle notifiche, il CSIRT italiano applica la procedura di cui all'articolo 12. 3. Le notifiche obbligatorie sono trattate prioritariamente rispetto alle notifiche volontarie. 4. Le notifiche volontarie sono trattate soltanto qualora tale trattamento non costituisca un onere sproporzionato o eccessivo. 5. La notifica volontaria non puo' avere l'effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica.] [1] Articolo abrogato, a decorrere dal 18 ottobre 2024, dall'articolo 41, comma 2, del D.Lgs. 4 settembre 2024, n. 138. InquadramentoL'art. 18 d.lgs. n. 65/2018 recepisce l'art. 20 della direttiva NIS e racchiude in sé il cuore concettuale della disciplina normativa. La direttiva, infatti, ha l'obiettivo di non appesantire le organizzazioni con il rischio sanzionatorio derivante da inidoneità a tipizzazioni che potrebbero essere sia aggirate sia inefficaci. La direttiva ha lo scopo di favorire la resilienza del sistema informatico europeo, almeno per quanto riguarda fornitori di servizi digitali e operatori di servizi essenziali. La base di tale resilienza non può che essere individuata nel necessario info-sharing che consente un approccio multisettoriale e proattivo alle tematiche di cybersecurity, creando un clima di cooperazione e unitarietà che possa agevolare la formazione di una linea di confine nel cd. quinto dominio. Ratio legisLa previsione di cui all'art. 18 d.lgs. n. 65/2018 prevede che chi non sia stato identificato come operatore di servizi essenziali e non sia un fornitore di servizi digitali possa ugualmente notificare volontariamente eventuali incidenti occorsi che abbiano generato un impatto rilevante sulla continuità dei servizi da loro prestati. Un'organizzazione che possiede sistemi e infrastrutture informatiche simili a quelle di un operatore di servizi essenziali o ad un fornitore di servizi digitali, notificando eventuali incidenti, consentirà alle autorità competenti NIS e al CSIRT italiano di agire preventivamente evitando incidenti che possano compromettere la continuità dei servizi ritenuti di fondamentale importanza per la cittadinanza. La notifica volontaria, pertanto, non è uno strumento di autodenuncia ma di prevenzione verso la possibilità che vulnerabilità note sul territorio europeo vengano sfruttate per danneggiare i servizi essenziali e digitali interni all'Unione. In Italia la disciplina di cui all'art. 20 NIS è stata leggermente modificata nell'art. 18 d.lgs. n. 65/2018. La facoltà di cui al comma 2 dell'art. 20 NIS, che concedeva la facoltà al legislatore italiano di garantire priorità alle notifiche provenienti da operatori di servizi essenziali e fornitori di servizi digitali, è stata sfruttata ma è stata espunta la parte relativa alla possibilità di trattare solo le notifiche volontarie non costituenti oneri sproporzionati o eccessivi. La disciplina italiana della notifica volontaria, pertanto, non esclude la possibilità di trattare incidenti anche se soggetti ad oneri di notevole impatto. Ciò consente all'Italia di porsi come Paese all'avanguardia nel trattamento degli incidenti di sicurezza e nella capacità di mettere a fattor comune le conoscenze relative agli incidenti in maniera tale da prevenirli. |
