[1. L'Agenzia, sentito il Ministero, per quanto di rispettiva competenza e tenuto conto delle misure tecniche e organizzative che possono essere adottate dalla Commissione europea, ai sensi dell'articolo 40, paragrafo 5, della direttiva (UE) 2018/1972, individua:
- a) adeguate e proporzionate misure di natura tecnica e organizzativa per gestire i rischi per la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico, assicurando un livello di sicurezza adeguato al rischio esistente, tenuto conto delle attuali conoscenze in materia. Tali misure, che possono comprendere, se del caso, il ricorso a tecniche di crittografia, sono anche finalizzate a prevenire e limitare le conseguenze per gli utenti, le reti interconnesse e gli altri servizi, degli incidenti che pregiudicano la sicurezza;
- b) i casi in cui gli incidenti di sicurezza siano da considerarsi significativi ai fini del corretto funzionamento delle reti o dei servizi.
2. Nella determinazione dei casi di cui al comma 1, lettera b), l'Agenzia considera i seguenti parametri, se disponibili:
- a) il numero di utenti interessati dall'incidente di sicurezza;
- b) la durata dell'incidente di sicurezza;
- c) la diffusione geografica della zona interessata dall'incidente di sicurezza;
- d) la misura in cui è colpito il funzionamento della rete o del servizio;
- e) la portata dell'incidenza sulle attività economiche e sociali.
3. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:
- a) adottano le misure individuate dall'Agenzia di cui al comma 1, lettera a);
- b) comunicano all'Agenzia e al Computer Security Incident Response Team (CSIRT), istituito ai sensi dell'articolo 8 del decreto legislativo 18 maggio 2018, n. 65, ogni significativo incidente di sicurezza secondo quanto previsto dal comma 1, lettera b).
4. L'Agenzia può informare il pubblico o imporre all'impresa di farlo, ove accerti che la divulgazione della notizia dell'incidente di sicurezza di cui al comma 1, lettera b), sia nell'interesse pubblico. Se del caso, l'Agenzia informa le Autorità competenti degli altri Stati membri e l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA).
5. L'Agenzia, anche avvalendosi del CSIRT, provvede direttamente o per il tramite dei fornitori di reti e servizi di comunicazione elettronica ad informare gli utenti potenzialmente interessati da minaccia particolare e significativa di incidenti di sicurezza, riguardo a eventuali misure di protezione o rimedi cui possono ricorrere.
6. L'Agenzia trasmette ogni anno alla Commissione europea e all'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente articolo.
7. L'Agenzia, nelle tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni, collabora con le autorità competenti degli altri Stati membri e con i competenti organismi internazionali e dell'Unione europea al fine di definire procedure e norme che garantiscano la sicurezza dei servizi.
8. In caso di notifica di incidente di sicurezza che determini anche una violazione di dati personali, l'Agenzia fornisce, senza ritardo, al Garante per la protezione dei dati personali le informazioni utili ai fini di cui all'articolo 33 del Regolamento UE 2016/679.]