keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 4 Trattamento dei dati personali
- 1 Art. 10 Comitato interistituzionale per la cibersicurezza
- 2 Art. 21 Obblighi di segnalazione
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- iicb 26
- unione 24
- articolo 20
- incidente 18
- cert-ue 17
- norma 16
- regolamento 14
- soggetti_dell 13
- relazione 11
- comitato 11
- cibersicurezza 10
- presente 9
- caso 9
- significativo 9
- presidente 8
- incidenti 8
- europeo 8
- membri 8
- informazioni 8
- dati 8
- impatto 7
- l 7
- misure 7
- ue / 6
- paragrafo 6
- membro 6
- i 5
- rappresentanti 5
- europea 5
- trattamento 5
- interno 5
- ritardo 5
- diversi 5
- indebito 5
- soggetto 5
- segnalazione 5
- rete 5
- obblighi 5
- personali 5
- interistituzionale 4
- direttiva 4
- richiesta 4
- voto 4
- interessi 4
- risposta 4
- ambiente 4
- euan 4
- il 4
- attuazione 4
- notifica 4
Articolo 4
Trattamento dei dati personali
1. Il trattamento dei dati personali a norma del presente regolamento da parte del CERT-UE, del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e dei soggetti_dell'Unione è effettuato in conformità del regolamento (UE) 2018/1725.
2. Nello svolgimento dei compiti o nell'adempimento degli obblighi previsti dal presente regolamento, il CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e i soggetti_dell'Unione trattano e scambiano i dati personali solo nella misura necessaria e al solo scopo di svolgere tali compiti o adempiere a tali obblighi.
3. Il trattamento di categorie particolari di dati personali di cui all'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 è considerato necessario per motivi di interesse pubblico rilevante a norma dell'articolo 10, paragrafo 2, lettera g), di tale regolamento. Tali dati possono essere trattati solo nella misura necessaria per l'attuazione delle misure di gestione dei rischi per la cibersicurezza di cui agli articoli 6 e 8, per la fornitura di servizi da parte del CERT-UE a norma dell'articolo 13, per la condivisione di informazioni specifiche su un incidente a norma dell'articolo 17, paragrafo 3, e dell'articolo 18, paragrafo 3, per la condivisione di informazioni a norma dell'articolo 20, per gli obblighi di segnalazione a norma dell'articolo 21, per il coordinamento della risposta e la cooperazione in caso di incidenti a norma dell'articolo 22 e per la gestione_degli_incidenti gravi a norma dell'articolo 23 del presente regolamento. I soggetti_dell'Unione e il CERT-UE, quando agiscono in qualità di titolari del trattamento, applicano misure tecniche per prevenire il trattamento di categorie particolari di dati personali per scopi diversi e prevedono misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati.
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
Articolo 10
Comitato interistituzionale per la cibersicurezza
1. È istituito un comitato interistituzionale per la cibersicurezza (IICB).
2. L'IICB ha il compito di:
| a) | controllare e sostenere l'attuazione del presente regolamento da parte dei soggetti_dell'Unione; |
| b) | vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE e imprimere a tale centro una direzione strategica. |
3. L'IICB è composto da:
| a) | un rappresentante designato da ciascuno dei seguenti soggetti:
|
| b) | tre rappresentanti designati dalla rete delle agenzie dell'Unione (EUAN) su proposta del suo comitato consultivo TIC per difendere gli interessi degli organi e degli organismi dell'Unione che gestiscono il proprio ambiente TIC diversi da quelli di cui alla lettera a). |
I soggetti_dell'Unione rappresentati nell'IICB mirano a conseguire l'equilibrio di genere tra i rappresentanti designati.
4. I membri dell'IICB possono farsi assistere da un supplente. Altri rappresentanti dei soggetti_dell'Unione di cui al paragrafo 3 o di altri soggetti_dell'Unione possono essere invitati dal presidente ad assistere alle riunioni dell'IICB senza avere diritto di voto.
5. Il direttore del CERT-UE e i presidenti del gruppo di cooperazione, della rete di CSIRT e della rete EU-CyCLONe, istituiti, rispettivamente, a norma degli articoli 14, 15 e 16 della direttiva (UE) 2022/2555, o i loro supplenti possono partecipare alle riunioni dell'IICB in qualità di osservatori. In casi eccezionali l'IICB può decidere diversamente, conformemente al proprio regolamento interno.
6. L'IICB adotta il proprio regolamento interno.
7. L'IICB designa un presidente, conformemente al proprio regolamento interno, tra i suoi membri per un periodo di tre anni. Il supplente del presidente diventa membro a pieno titolo dell'IICB per la stessa durata.
8. L'IICB si riunisce almeno tre volte all'anno su iniziativa del presidente, su richiesta del CERT-UE o su richiesta di uno dei membri.
9. Ciascun membro dell'IICB dispone di un voto. Le decisioni dell'IICB sono adottate a maggioranza semplice, salvo ove il presente regolamento disponga diversamente. Il presidente dell'IICB non dispone di un voto, tranne in caso di parità di voti, nel qual caso può esprimere il voto decisivo.
10. L'IICB può deliberare mediante una procedura scritta semplificata avviata conformemente al proprio regolamento interno. In base a tale procedura la pertinente decisione è considerata approvata entro il termine fissato dal presidente, salvo obiezioni da parte di uno dei membri.
11. Le funzioni di segretariato dell'IICB sono espletate dalla Commissione e il segretariato rende conto al presidente dell'IICB.
12. I rappresentanti nominati dall'EUAN trasmettono le decisioni dell'IICB ai membri dell'EUAN. Ogni membro dell'EUAN ha la facoltà di sottoporre a tali rappresentanti o al presidente dell'IICB ogni questione che ritenga debba essere portata all'attenzione di tale comitato.
13. L'IICB può istituire un comitato esecutivo che lo assista nel suo lavoro e può delegare a tale comitato alcuni dei suoi compiti e poteri. L'IICB stabilisce il regolamento interno del comitato esecutivo, compresi i suoi compiti e i suoi poteri, e il mandato dei suoi membri.
14. Entro l'8 gennaio 2025 e successivamente a cadenza annuale, l'IICB presenta al Parlamento europeo e al Consiglio una relazione che illustra i progressi compiuti nell'attuazione del presente regolamento e precisa, in particolare, la portata della cooperazione del CERT-UE con i suoi omologhi degli Stati membri in ciascuno Stato membro. La relazione costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell'Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.
Articolo 21
Obblighi di segnalazione
1. Un incidente è considerato significativo se:
| a) | ha causato o è in grado di causare una grave perturbazione operativa per il funzionamento del soggetto dell'Unione interessato o perdite finanziarie per lo stesso; |
| b) | ha interessato o è in grado di interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali. |
2. I soggetti_dell'Unione presentano al CERT-UE:
| a) | senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti; |
| b) | senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica di incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; |
| c) | su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione; |
| d) | una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda:
|
| e) | in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente. |
3. Un soggetto dell'Unione informa gli omologhi pertinenti degli Stati membri di cui all'articolo 17, paragrafo 1, nello Stato membro in cui ha sede del fatto che si è verificato un incidente significativo, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne è venuto a conoscenza.
4. I soggetti_dell'Unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, l'impatto sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. Fatto salvo l'articolo 12, la sola notifica non espone il soggetto dell'Unione a una maggiore responsabilità.
5. Se del caso, i soggetti_dell'Unione comunicano, senza indebito ritardo, agli utenti dei sistemi informativi e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia_informatica significativa e, se del caso, che devono adottare misure di attenuazione, qualsiasi misura o azione correttiva che possano adottare in risposta a tale incidente o minaccia. Se del caso, i soggetti_dell'Unione informano tali utenti della minaccia_informatica significativa stessa.
6. Qualora un incidente significativo o una minaccia_informatica significativa interessi un sistema_informativo_e_di_rete o una componente dell'ambiente TIC di un soggetto dell'Unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'Unione, il CERT-UE emette una segnalazione di cibersicurezza.
7. I soggetti_dell'Unione, su richiesta del CERT-UE, forniscono senza indebito ritardo al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può fornire ulteriori dettagli sui tipi di informazioni di cui ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.
8. Il CERT-UE trasmette ogni tre mesi all'IICB, all'ENISA, all'EU INTCEN e alla rete CSIRT una relazione di sintesi che comprende dati anonimizzati e aggregati su incidenti significativi, incidenti, minacce informatiche, quasi incidenti e vulnerabilità a norma dell'articolo 20 e sugli incidenti significativi notificati conformemente al paragrafo 2 del presente articolo. La relazione di sintesi costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell’Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.
9. Entro l'8 luglio 2024, l'IICB emana indirizzi o raccomandazioni che precisano ulteriormente le modalità, il formato e il contenuto della segnalazione a norma del presente articolo. Nell'elaborare tali indirizzi o raccomandazioni, l'IICB tiene conto degli atti di esecuzione adottati a norma dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555, che specificano il tipo di informazioni, il formato e la procedura di notifica. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti_dell'Unione.
10. Gli obblighi di segnalazione stabiliti nel presente articolo non comprendono:
| a) | le ICUE; |
| b) | le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita. |
whereas