Orientamenti applicazione dell'articolo 3, par. 4 direttiva NIS 2
| ID 20395 | | Visite: 4055 | Cybersicurezza | Permalink: https://www.certifico.com/id/20395 |
Orientamenti applicazione dell'articolo 3, par. 4 direttiva NIS 2
ID 20395 | 14.09.2023
Comunicazione della Commissione Orientamenti della Commissione sull'applicazione dell'articolo 3, paragrafo 4, della direttiva (UE) 2022/2555 (direttiva NIS 2)
GU C 324/2 del 14.9.2023
...
1. A norma dell’articolo 3, paragrafo 4, della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2), la Commissione, assistita dall’Agenzia dell’Unione europea per la cibersicurezza (ENISA), deve fornire senza indebito ritardo orientamenti e modelli relativi agli obblighi di cui a tale disposizione.
L’articolo 3, paragrafo 4, della direttiva (UE) 2022/2555 fa riferimento all’articolo 3, paragrafo 3, di tale direttiva, che impone agli Stati membri di definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio. Gli Stati membri devono riesaminare l’elenco periodicamente, almeno ogni due anni e, se opportuno, aggiornarlo.
2. Ai fini della compilazione dell’elenco dei soggetti essenziali e importanti, gli Stati membri devono imporre ai soggetti di trasmettere alle autorità competenti almeno le informazioni seguenti: il nome, l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail, le serie di IP e i numeri di telefono del soggetto e se del caso, il settore e il sottosettore pertinente di cui agli allegati nonché, ove applicabile, un elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione della direttiva. L’allegato I dei presenti orientamenti definisce un modello per la raccolta di tali informazioni ai fini della compilazione dell’elenco.
3. Per facilitare la compilazione e l’aggiornamento dell’elenco dei soggetti essenziali e importanti, nonché dei soggetti che forniscono servizi di registrazione dei nomi di dominio, l’articolo 3, paragrafo 4, della direttiva (UE) 2022/2555 stabilisce che gli Stati membri possono istituire meccanismi nazionali che consentano ai soggetti di registrarsi.
4. A norma dell’articolo 3, paragrafo 5, della direttiva (UE) 2022/2555, entro il 17 aprile 2025 e successivamente ogni due anni, gli Stati membri devono notificare alla Commissione e al gruppo di cooperazione almeno il numero dei soggetti essenziali e importanti elencati ai sensi dell’articolo 3, paragrafo 3, di tale direttiva per ciascun settore e sottosettore di cui agli allegati I e II della direttiva. Gli Stati membri devono inoltre notificare alla Commissione informazioni pertinenti sul numero di soggetti essenziali e importanti individuati ai sensi dell’articolo 2, paragrafo 2, lettere da b) a e), della direttiva (UE) 2022/2555, sul settore e il sottosettore cui appartengono, sul tipo di servizio che forniscono e sulla disposizione a norma della quale sono stati individuati. Il considerando 19 del preambolo della direttiva (UE) 2022/2555 spiega che gli Stati membri sono incoraggiati a scambiare con la Commissione informazioni sui soggetti essenziali e importanti e, in caso di incidente di cibersicurezza su vasta scala, informazioni pertinenti quali il nome del soggetto interessato.
5. Oltre all’elenco compilato dagli Stati membri a norma dell’articolo 3, paragrafo 3, della direttiva (UE) 2022/2555, gli Stati membri, in conformità dell’articolo 27, paragrafo 2, di tale direttiva, devono inoltre esigere che determinati soggetti di cui all’articolo 27, paragrafo 1, della direttiva trasmettano, entro il 17 gennaio 2025, le informazioni seguenti alle autorità competenti: il proprio nome; il settore, il sottosettore e il tipo di soggetto di cui all’allegato I o II della direttiva, se del caso; l’indirizzo dello stabilimento principale e degli altri stabilimenti legali del soggetto nell’Unione o, se non è stabilito nell’Unione, del suo rappresentante a norma dell’articolo 26, paragrafo 3, della direttiva; i dati di contatto aggiornati, compresi gli indirizzi e-mail e i numeri di telefono del soggetto, e, se opportuno, del suo rappresentante a norma dell’articolo 26, paragrafo 3, della direttiva; gli Stati membri in cui il soggetto fornisce i suoi servizi; e le serie di IP del soggetto. A norma dell’articolo 27, paragrafo 3, della direttiva (UE) 2022/2555, gli Stati membri devono provvedere affinché i soggetti di cui all’articolo 27, paragrafo 1, della direttiva notifichino all’autorità competente qualsiasi modifica delle informazioni trasmesse a norma dell’articolo 27, paragrafo 2, della direttiva tempestivamente e, in ogni caso, entro tre mesi dalla data della modifica.
6. A norma dell’articolo 27, paragrafo 5, della direttiva (UE) 2022/2555, se opportuno, le informazioni di cui all’articolo 27, paragrafi 2 e 3, di tale direttiva devono essere trasmesse attraverso il meccanismo nazionale di cui all’articolo 3, paragrafo 4, della direttiva. Di conseguenza, per conseguire una maggiore efficienza amministrativa, il modello allegato ai presenti orientamenti contiene anche le richieste di informazioni necessarie ai fini sia dell’articolo 3, paragrafo 3, che dell’articolo 27, paragrafo 2, della direttiva (UE) 2022/2555. Il modello è stato creato con l’assistenza dell’ENISA.
[...]
Collegati
| Descrizione | Lingua | Dimensione | Downloads | |
|---|---|---|---|---|
 | Orientamenti applicazione dell'articolo 3, par. 4 direttiva NIS 2 | IT | 401 kB | 387 |
Tags: Cybersecurity
