Art. 2. Mancato o ritardato adeguamento a segnalazioni
dell'Agenzia per la cybersicurezza nazionale 1. I soggetti di cui all'articolo 1, comma 1, della presente legge e quelli di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, all'articolo 3, comma 1, lettere g) e i) , del decreto legislativo 18 maggio 2018, n. 65, e all'articolo 40, comma 3 , alinea, del codice delle comunicazioni elettroniche , di cui al decreto legislativo 1° agosto 2003, n. 259 , in caso di segnalazioni puntuali dell'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilita' cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all'adozione degli interventi risolutivi indicati dalla stessa Agenzia.
2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 del presente articolo comporta l'applicazione delle sanzioni di cui all'articolo 1, comma 6, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, ne impediscano l'adozione o ne comportino il differimento oltre il termine indicato al medesimo comma 1 del presente articolo.
Note all'art. 2:
- Per l'articolo 1, comma 2-bis, del citato decreto-legge 21settembre 2019, n.105 , si veda nelle note all'articolo 1.
- Per l'articolo 3, comma 1, lettere g) e i), del citato decreto legislativo 18 maggio 2018, n. 65 , si veda nelle note all'articolo 1.
- Si riporta l' articolo 40, comma 3, del decreto legislativo 1°agosto 2003, n. 259 ( Codice delle comunicazioni elettroniche ):
«Art. 40 (Sicurezza delle reti e dei servizi). - 1. - 2. (omissis).
3. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:
a) adottano le misure individuate dall'Agenzia di cui al comma 1, lettera a);
b) comunicano all'Agenzia e al Computer Security Incident Response Team (CSIRT), istituito ai sensi dell' articolo 8 del decreto legislativo 18 maggio 2018, n. 65 , ogni significativo incidente di sicurezza secondo quanto previsto dal comma 1, lettera b).
4. - 8. (omissis).».
dell'Agenzia per la cybersicurezza nazionale 1. I soggetti di cui all'articolo 1, comma 1, della presente legge e quelli di cui all' articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105 , convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, all'articolo 3, comma 1, lettere g) e i) , del decreto legislativo 18 maggio 2018, n. 65, e all'articolo 40, comma 3 , alinea, del codice delle comunicazioni elettroniche , di cui al decreto legislativo 1° agosto 2003, n. 259 , in caso di segnalazioni puntuali dell'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilita' cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all'adozione degli interventi risolutivi indicati dalla stessa Agenzia.
2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 del presente articolo comporta l'applicazione delle sanzioni di cui all'articolo 1, comma 6, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, ne impediscano l'adozione o ne comportino il differimento oltre il termine indicato al medesimo comma 1 del presente articolo.
Note all'art. 2:
- Per l'articolo 1, comma 2-bis, del citato decreto-legge 21settembre 2019, n.105 , si veda nelle note all'articolo 1.
- Per l'articolo 3, comma 1, lettere g) e i), del citato decreto legislativo 18 maggio 2018, n. 65 , si veda nelle note all'articolo 1.
- Si riporta l' articolo 40, comma 3, del decreto legislativo 1°agosto 2003, n. 259 ( Codice delle comunicazioni elettroniche ):
«Art. 40 (Sicurezza delle reti e dei servizi). - 1. - 2. (omissis).
3. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:
a) adottano le misure individuate dall'Agenzia di cui al comma 1, lettera a);
b) comunicano all'Agenzia e al Computer Security Incident Response Team (CSIRT), istituito ai sensi dell' articolo 8 del decreto legislativo 18 maggio 2018, n. 65 , ogni significativo incidente di sicurezza secondo quanto previsto dal comma 1, lettera b).
4. - 8. (omissis).».