search

keyboard_tab Cyber Resilience Act 2023/2841 IT

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 IT cercato: 'cloud' . Output generated live by software developed by IusOnDemand srl


expand index cloud:


whereas cloud:


definitions:


cloud tag: and the number of total unique words without stopwords is: 450

 

Articolo 3

Definizioni

Ai fini del presente regolamento si applicano le definizioni seguenti:

1)

« cloud' title='definition'>soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi;

2)

« cloud' title='definition'>sistema_informativo_e_di_rete»: un cloud' title='definition'>sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555;

3)

« cloud' title='definition'>sicurezza_dei_sistemi_informativi_e_di_rete»: la cloud' title='definition'>sicurezza_dei_sistemi_informativi_e_di_rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555;

4)

« cloud' title='definition'>cibersicurezza»: la cloud' title='definition'>cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881;

5)

« cloud' title='definition'>livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cloud' title='definition'>cibersicurezza nei rispettivi settori di competenza;

6)

« cloud' title='definition'>quasi_ cloud' title='definition'>incidente»: un cloud' title='definition'>quasi_ cloud' title='definition'>incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555;

7)

« cloud' title='definition'>incidente»: un cloud' title='definition'>incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555;

8)

« cloud' title='definition'>incidente grave»: un cloud' title='definition'>incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due cloud' title='definition'>soggetti_dell'Unione;

9)

« cloud' title='definition'>incidente di cloud' title='definition'>cibersicurezza su vasta scala»: un cloud' title='definition'>incidente di cloud' title='definition'>cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555;

10)

« cloud' title='definition'>gestione_degli_incidenti»: la cloud' title='definition'>gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555;

11)

« cloud' title='definition'>minaccia_informatica»: una cloud' title='definition'>minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881;

12)

« cloud' title='definition'>minaccia_informatica significativa»: una cloud' title='definition'>minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555;

13)

« cloud' title='definition'>vulnerabilità»: una cloud' title='definition'>vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555;

14)

«rischio per la cloud' title='definition'>cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555;

15)

« cloud' title='definition'>servizio_di_cloud_computing»: un cloud' title='definition'>servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555.

Articolo 6

Quadro di gestione, di governance e di controllo dei rischi

1.   Entro l'8 aprile 2025, ogni soggetto dell'Unione, dopo aver effettuato un riesame iniziale della cloud' title='definition'>cibersicurezza, come un audit, istituisce un quadro interno di gestione, di governance e di controllo dei rischi per la cloud' title='definition'>cibersicurezza («quadro»). L'istituzione del quadro è soggetta alla vigilanza del cloud' title='definition'>livello_di_dirigenza_più_elevato del soggetto dell'Unione ed è sotto la sua responsabilità.

2.   Il quadro interessa la totalità dell'ambiente TIC non riservato del soggetto dell'Unione interessato, compresi ogni ambiente TIC e la rete di tecnologie operative in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso a tali ambienti («ambiente TIC»). Il quadro è basato su un approccio multirischio.

3.   Il quadro garantisce un livello elevato di cloud' title='definition'>cibersicurezza e stabilisce le politiche interne in materia di cloud' title='definition'>cibersicurezza, comprensive di obiettivi e priorità, per la sicurezza delle reti e dei sistemi informativi, nonché i ruoli e le responsabilità del personale del soggetto dell'Unione incaricato di garantire l'efficace attuazione del presente regolamento. Il quadro comprende anche meccanismi per misurare l'efficacia dell'attuazione.

4.   Il quadro è riesaminato periodicamente in considerazione dell'evoluzione dei rischi per la cloud' title='definition'>cibersicurezza e almeno ogni quattro anni. Se del caso e a seguito di una richiesta del comitato interistituzionale per la cloud' title='definition'>cibersicurezza istituito a norma dell'articolo 10, il quadro di un soggetto dell'Unione può essere aggiornato sulla base degli orientamenti del CERT-UE sugli incidenti identificati o sulle eventuali lacune osservate nell'attuazione del presente regolamento.

5.   Il cloud' title='definition'>livello_di_dirigenza_più_elevato di ciascun soggetto dell'Unione è responsabile dell'attuazione del presente regolamento e vigila sul rispetto degli obblighi relativi al quadro da parte della propria organizzazione.

6.   Se del caso e fatta salva la sua responsabilità per l'attuazione del presente regolamento, il cloud' title='definition'>livello_di_dirigenza_più_elevato di ciascun soggetto dell'Unione può delegare obblighi specifici a norma del presente regolamento ad alti funzionari ai sensi dell'articolo 29, paragrafo 2, dello statuto dei funzionari o ad altri funzionari di livello equivalente, in seno al soggetto dell'Unione interessato. Indipendentemente da tale delega, il livello di gestione più elevato può essere ritenuto responsabile delle violazioni del presente regolamento da parte del soggetto dell'Unione interessato.

7.   Ogni soggetto dell'Unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle TIC sia spesa per la cloud' title='definition'>cibersicurezza. Nel fissare tale percentuale è tenuto debitamente conto del quadro.

8.   Ogni soggetto dell'Unione nomina un responsabile locale per la cloud' title='definition'>cibersicurezza o una funzione equivalente come punto di contatto unico per tutti gli aspetti della cloud' title='definition'>cibersicurezza. Il responsabile locale per la cloud' title='definition'>cibersicurezza agevola l'attuazione del presente regolamento e riferisce direttamente al cloud' title='definition'>livello_di_dirigenza_più_elevato a cadenza periodica in merito allo stato di attuazione. Fermo restando che il responsabile locale per la cloud' title='definition'>cibersicurezza è il punto di contatto unico in ciascun soggetto dell'Unione, un soggetto dell'Unione può delegare determinati compiti del responsabile locale per la cloud' title='definition'>cibersicurezza in relazione all'attuazione del presente regolamento al CERT-UE sulla base di un accordo sul livello dei servizi concluso tra tale soggetto dell'Unione e il CERT-UE, oppure tali compiti possono essere condivisi tra vari cloud' title='definition'>soggetti_dell'Unione. In caso di delega di tali compiti al CERT-UE, il comitato interistituzionale per la cloud' title='definition'>cibersicurezza istituito a norma dell'articolo 10 decide se la fornitura di tale servizio fa parte dei servizi di base del CERT-UE, tenendo conto delle risorse umane e finanziarie del soggetto dell'Unione interessato. Ciascun soggetto dell'Unione notifica senza indebito ritardo al CERT-UE il responsabile locale per la cloud' title='definition'>cibersicurezza nominato e le eventuali modifiche successive.

Il CERT-UE istituisce un elenco dei responsabili locali per la cloud' title='definition'>cibersicurezza nominati e lo mantiene aggiornato.

9.   Gli alti funzionari di cui all'articolo 29, paragrafo 2, dello statuto dei funzionari o gli altri funzionari di livello equivalente di ciascun soggetto dell'Unione, così come tutti i membri pertinenti del personale incaricato dell'attuazione delle misure di gestione dei rischi per la cloud' title='definition'>cibersicurezza e dell’adempimento degli obblighi stabiliti dal presente regolamento, seguono periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi per la cloud' title='definition'>cibersicurezza, le pratiche di gestione degli stessi e il loro impatto sulle attività del soggetto dell'Unione.

Articolo 8

Misure di gestione dei rischi per la cloud' title='definition'>cibersicurezza

1.   Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del cloud' title='definition'>livello_di_dirigenza_più_elevato, per gestire i rischi per la cloud' title='definition'>cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di cloud' title='definition'>sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cloud' title='definition'>cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cloud' title='definition'>cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.

2.   Nell'attuazione delle misure di gestione dei rischi per la cloud' title='definition'>cibersicurezza, i cloud' title='definition'>soggetti_dell'Unione trattano almeno gli ambiti seguenti:

a)

la politica in materia di cloud' title='definition'>cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo;

b)

le politiche di analisi dei rischi per la cloud' title='definition'>cibersicurezza e di sicurezza dei sistemi informativi;

c)

gli obiettivi strategici relativi all'uso dei servizi di cloud computing;

d)

un audit sulla cloud' title='definition'>cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cloud' title='definition'>cibersicurezza, della cloud' title='definition'>vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile;

e)

l'attuazione delle raccomandazioni risultanti dagli audit sulla cloud' title='definition'>cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cloud' title='definition'>cibersicurezza;

f)

l'organizzazione della cloud' title='definition'>cibersicurezza, compresa la definizione di ruoli e responsabilità;

g)

la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;

h)

la sicurezza delle risorse umane e il controllo degli accessi;

i)

la sicurezza delle operazioni;

j)

la sicurezza delle comunicazioni;

k)

l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle cloud' title='definition'>vulnerabilità;

l)

se possibile, le politiche in materia di trasparenza del codice sorgente;

m)

la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi;

n)

la cloud' title='definition'>gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione;

o)

la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e

p)

la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cloud' title='definition'>cibersicurezza.

Ai fini del primo comma, lettera m), i cloud' title='definition'>soggetti_dell'Unione tengono conto delle cloud' title='definition'>vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cloud' title='definition'>cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.

3.   I cloud' title='definition'>soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cloud' title='definition'>cibersicurezza:

a)

disposizioni tecniche per consentire e sostenere il telelavoro;

b)

provvedimenti concreti per compiere progressi verso i principi fiducia zero;

c)

l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete;

d)

l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura;

e)

se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione;

f)

misure proattive per l'identificazione e la rimozione di software maligni e spyware;

g)

l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software;

h)

l'istituzione e l'adozione di programmi di formazione sulla cloud' title='definition'>cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il cloud' title='definition'>livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento;

i)

la regolare formazione del personale in materia di cloud' title='definition'>cibersicurezza;

j)

se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i cloud' title='definition'>soggetti_dell'Unione;

k)

il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cloud' title='definition'>cibersicurezza attraverso:

i)

l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le cloud' title='definition'>vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE;

ii)

gli obblighi contrattuali di segnalare gli incidenti, le cloud' title='definition'>vulnerabilità e le minacce informatiche, così come di avere predisposti adeguati meccanismi di risposta e controllo in caso di incidenti.

whereas
keyboard_arrow_down