1. Il Rettore, sentito il Direttore del GESTORE, istituisce il "Nucleo sulla Sicurezza Informatica" (NSI), nominandone contestualmente il Presidente.

a) L’NSI è costituito da un minimo di 3 ad un massimo di 5 membri, di cui di diritto il Responsabile del GESTORE e un esperto in sicurezza informatica in ambiente sanitario.

b) L’NSI è affiancato da un gruppo di esperti nei protocolli di rete ed applicativi, nominati dal Rettore tra il personale del CSIA, dell'Ateneo e di altri Enti in convenzione con l'Ateneo, che condividono parte della SIRA.

c) Il Presidente convoca almeno una volta ogni sei mesi l’NSI integrato dal gruppo di esperti.

2. L’NSI definisce e coordina le azioni da intraprendere per mantenere e ripristinare la sicurezza informatica generale e le comunica ai referenti delle Strutture, che sono obbligate a metterle in atto nei tempi da esso indicati. L’esperto in sicurezza informatica in ambiente sanitario, di cui al comma 1.a, è deputato ad autorizzare servizi che coinvolgano la connessione fra entità sanitarie, anche per scopi di didattica e ricerca. Per tutti gli altri servizi che richiedono un’autorizzazione l’NSI delega un proprio membro o un esperto all’ordinaria amministrazione.

3. Tutti i sistemi in rete devono essere mantenuti costantemente in adeguate condizioni di sicurezza.

a) Le Strutture che offrono servizi informatici attraverso server e servizi di connessione sono tenute a conservare per il periodo previsto dalla normativa vigente la registrazione degli accessi ai servizi per consentire eventuali indagini interne o esterne aventi per oggetto l’uso improprio delle risorse.

b) Le strutture dovranno garantire l'utenza che dette registrazioni non sono disponibili ad alcuno se non nei casi di emergenza riconosciuti come tali dall'NSI, nel rispetto del decreto legislativo 30 giugno 2003, n. 196.

c) I referenti delle Strutture sono tenuti a segnalare immediatamente all'NSI intrusioni o tentativi di intrusione che abbiano avuto come oggetto elaboratori della propria Struttura, dichiarando la disponibilità di registrazioni utili, di cui alla lettera (a).

d) Ove l'NSI rilevi l'inadeguatezza di un sistema per quanto concerne la sicurezza diretta o indiretta, detto sistema deve essere immediatamente adeguato secondo le indicazioni fornite dall'NSI, o staccato dalla rete a cura della Struttura di appartenenza. In difetto dell'azione da parte della Struttura, il GESTORE mette in atto tutti gli accorgimenti tecnici ad esso disponibili per disattivare ogni trasporto sul SIRA relativo al sistema inadeguato, sino all’intervento correttivo operato dalla Struttura.