Cyber Resilience Act 2023/2841 IT

1)	« soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi;

2)	« sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555;

3)	« sicurezza_dei_sistemi_informativi_e_di_rete»: la sicurezza_dei_sistemi_informativi_e_di_rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555;

4)	« cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881;

« livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza;

6)	« quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555;

7)	« incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555;

8)	« incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione;

9)	« incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555;

10)	« gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555;

11)	« minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881;

12)	« minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555;

13)	« vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555;

14)	«rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555;

15)	« servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555.

Articolo 10

Comitato interistituzionale per la cibersicurezza

1. È istituito un comitato interistituzionale per la cibersicurezza (IICB).

2. L'IICB ha il compito di:

a)	controllare e sostenere l'attuazione del presente regolamento da parte dei soggetti_dell'Unione;

b)	vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE e imprimere a tale centro una direzione strategica.

3. L'IICB è composto da:

un rappresentante designato da ciascuno dei seguenti soggetti:

i)	il Parlamento europeo;

ii)	il Consiglio europeo;

iii)	il Consiglio dell'Unione europea;

iv)	la Commissione;

v)	la Corte di giustizia dell'Unione europea;

vi)	la Banca centrale europea;

vii)	la Corte dei conti;

viii)

il Servizio europeo per l'azione esterna;

ix)	il Comitato economico e sociale europeo;

x)	il Comitato europeo delle regioni;

xi)	la Banca europea per gli investimenti;

xii)	il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca;

xiii)

l'ENISA;

xiv)	il Garante europeo della protezione dei dati (GEPD);

xv)	l'Agenzia dell'Unione europea per il programma spaziale;

b)	tre rappresentanti designati dalla rete delle agenzie dell'Unione (EUAN) su proposta del suo comitato consultivo TIC per difendere gli interessi degli organi e degli organismi dell'Unione che gestiscono il proprio ambiente TIC diversi da quelli di cui alla lettera a).

I soggetti_dell'Unione rappresentati nell'IICB mirano a conseguire l'equilibrio di genere tra i rappresentanti designati.

4. I membri dell'IICB possono farsi assistere da un supplente. Altri rappresentanti dei soggetti_dell'Unione di cui al paragrafo 3 o di altri soggetti_dell'Unione possono essere invitati dal presidente ad assistere alle riunioni dell'IICB senza avere diritto di voto.

5. Il direttore del CERT-UE e i presidenti del gruppo di cooperazione, della rete di CSIRT e della rete EU-CyCLONe, istituiti, rispettivamente, a norma degli articoli 14, 15 e 16 della direttiva (UE) 2022/2555, o i loro supplenti possono partecipare alle riunioni dell'IICB in qualità di osservatori. In casi eccezionali l'IICB può decidere diversamente, conformemente al proprio regolamento interno.

6. L'IICB adotta il proprio regolamento interno.

7. L'IICB designa un presidente, conformemente al proprio regolamento interno, tra i suoi membri per un periodo di tre anni. Il supplente del presidente diventa membro a pieno titolo dell'IICB per la stessa durata.

8. L'IICB si riunisce almeno tre volte all'anno su iniziativa del presidente, su richiesta del CERT-UE o su richiesta di uno dei membri.

9. Ciascun membro dell'IICB dispone di un voto. Le decisioni dell'IICB sono adottate a maggioranza semplice, salvo ove il presente regolamento disponga diversamente. Il presidente dell'IICB non dispone di un voto, tranne in caso di parità di voti, nel qual caso può esprimere il voto decisivo.

10. L'IICB può deliberare mediante una procedura scritta semplificata avviata conformemente al proprio regolamento interno. In base a tale procedura la pertinente decisione è considerata approvata entro il termine fissato dal presidente, salvo obiezioni da parte di uno dei membri.

11. Le funzioni di segretariato dell'IICB sono espletate dalla Commissione e il segretariato rende conto al presidente dell'IICB.

12. I rappresentanti nominati dall'EUAN trasmettono le decisioni dell'IICB ai membri dell'EUAN. Ogni membro dell'EUAN ha la facoltà di sottoporre a tali rappresentanti o al presidente dell'IICB ogni questione che ritenga debba essere portata all'attenzione di tale comitato.

13. L'IICB può istituire un comitato esecutivo che lo assista nel suo lavoro e può delegare a tale comitato alcuni dei suoi compiti e poteri. L'IICB stabilisce il regolamento interno del comitato esecutivo, compresi i suoi compiti e i suoi poteri, e il mandato dei suoi membri.

14. Entro l'8 gennaio 2025 e successivamente a cadenza annuale, l'IICB presenta al Parlamento europeo e al Consiglio una relazione che illustra i progressi compiuti nell'attuazione del presente regolamento e precisa, in particolare, la portata della cooperazione del CERT-UE con i suoi omologhi degli Stati membri in ciascuno Stato membro. La relazione costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell'Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.

Articolo 11

Compiti dell'IICB

Nell'esercizio delle sue responsabilità l'IICB, in particolare:

a)	fornisce orientamenti al direttore del CERT-UE;

b)	controlla e vigila efficacemente sull'attuazione del presente regolamento e sostiene i soggetti_dell'Unione nel rafforzamento della loro cibersicurezza, anche, se del caso, richiedendo relazioni ad hoc ai soggetti_dell'Unione e al CERT-UE;

c)	previa discussione strategica, adotta una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti_dell'Unione, valuta tale strategia periodicamente e comunque ogni cinque anni e, ove necessario, la modifica;

stabilisce la metodologia e gli aspetti organizzativi per lo svolgimento di riesami inter pares volontari da parte di soggetti_dell'Unione, al fine di trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di cibersicurezza e migliorare le capacità di cibersicurezza dei soggetti_dell'Unione, garantendo che tali riesami inter pares siano condotti da esperti di cibersicurezza designati da un soggetto dell'Unione diverso da quello sottoposto al riesame e che la metodologia si basi sull'articolo 19 della direttiva (UE) 2022/2555 e sia, se del caso, adattata ai soggetti_dell'Unione;

e)	approva, sulla base di una proposta del direttore del CERT-UE, il programma di lavoro annuale del CERT-UE e ne controlla l'attuazione;

f)	approva, sulla base di una proposta del direttore del CERT-UE, il catalogo dei servizi offerti dal CERT-UE e ogni suo aggiornamento;

g)	approva, sulla base di una proposta del direttore del CERT-UE, la pianificazione finanziaria annuale delle entrate e delle spese, anche in materia di personale, per le attività del CERT-UE;

h)	approva, sulla base di una proposta del direttore del CERT-UE, le modalità degli accordi sul livello dei servizi;

i)	esamina e approva la relazione annuale elaborata dal direttore del CERT-UE riguardante le attività del CERT-UE, nonché la gestione dei fondi da parte di quest'ultimo;

j)	approva e controlla gli indicatori essenziali di prestazione per il CERT-UE stabiliti sulla base di una proposta del direttore del CERT-UE;

k)	approva gli accordi di cooperazione, gli accordi sul livello dei servizi o i contratti tra il CERT-UE e altri soggetti ai sensi dell'articolo 18;

l)	adotta indirizzi e raccomandazioni sulla base di una proposta del CERT-UE conformemente all'articolo 14 e dà istruzione al CERT-UE di emanare, ritirare o modificare una proposta relativa a indirizzi o raccomandazioni, o un invito a intervenire;

m)	istituisce gruppi di consulenza tecnica con compiti specifici per assistere l'IICB nel suo operato, approva il loro mandato e ne designa i rispettivi presidenti;

n)	riceve e valuta i documenti e le relazioni presentati dai soggetti_dell'Unione a norma del presente regolamento, come le valutazioni di maturità della cibersicurezza;

o)	facilita l'istituzione di un gruppo informale di responsabili locali della cibersicurezza dei soggetti_dell'Unione, con il sostegno dell'ENISA, allo scopo di scambiare migliori pratiche e informazioni in relazione all'attuazione del presente regolamento;

p)	tenendo conto delle informazioni sui rischi di cibersicurezza individuati e degli insegnamenti tratti dal CERT-UE, controlla l'adeguatezza degli accordi di interconnettività tra gli ambienti TIC dei soggetti_dell'Unione e fornisce consulenza su eventuali miglioramenti;

istituisce un piano di gestione delle crisi informatiche al fine di sostenere, a livello operativo, la gestione coordinata degli incidenti gravi che colpiscono i soggetti_dell'Unione e al fine di contribuire allo scambio regolare di informazioni pertinenti, in particolare per quanto riguarda l'impatto e l'entità degli incidenti gravi e i possibili modi per attenuarne gli effetti;

r)	coordina l'adozione dei piani individuali di gestione delle crisi informatiche dei soggetti_dell'Unione di cui all'articolo 9, paragrafo 2;

adotta raccomandazioni relative alla sicurezza delle catene di approvvigionamento di cui all'articolo 8, paragrafo 2, primo comma, lettera m), tenendo conto dei risultati delle valutazioni coordinate a livello dell'Unione dei rischi di sicurezza delle catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti_dell'Unione nell'adozione di misure di gestione dei rischi di cibersicurezza efficaci e proporzionate.

Articolo 12

Osservanza delle disposizioni

1. L'IICB, a norma dell'articolo 10, paragrafo 2, e dell'articolo 11, controlla efficacemente che i soggetti_dell'Unione attuino il presente regolamento e gli indirizzi, le raccomandazioni e gli inviti a intervenire da loro adottati. L'IICB può chiedere ai soggetti_dell'Unione le informazioni o la documentazione necessarie a tal fine. Ai fini dell'adozione di misure di osservanza ai sensi del presente articolo, il soggetto dell'Unione interessato, se è direttamente rappresentato nell’IICB, ’non ha diritto di voto.

2. Qualora constati che un soggetto dell'Unione non ha attuato efficacemente il presente regolamento o gli indirizzi, le raccomandazioni o gli inviti a intervenire emanati in base ad esso, ferme restando le procedure interne del soggetto dell'Unione interessato e dopo aver dato a quest'ultimo l'opportunità di presentare le proprie opinioni, l'IICB può:

a)	comunicare al soggetto dell'Unione interessato un parere motivato sulle carenze osservate nell'attuazione del presente regolamento;

b)	previa consultazione del CERT-UE, fornire indirizzi al soggetto dell'Unione interessato affinché il suo quadro, le sue misure di gestione del rischio di cibersicurezza, il suo piano di cibersicurezza e le sue relazioni si conformino al presente regolamento entro un termine specificato;

c)	emanare un avvertimento per rimediare alle carenze individuate entro un termine specificato, comprese raccomandazioni per modificare le misure adottate dal soggetto dell'Unione interessato ai sensi del presente regolamento;

d)	inviare una notifica motivata al soggetto dell'Unione interessato nel caso in cui entro il termine specificato non sia stato posto sufficiente rimedio alle carenze individuate in un avvertimento emanato a norma della lettera c);

emanare:

i)	una raccomandazione per l'esecuzione di un audit; o

ii)	una richiesta relativa allo svolgimento di un audit a cura di un servizio di audit di terzi;

f)	se del caso, informare la Corte dei conti, nell'ambito del suo mandato, della presunta inosservanza;

g)	emanare una raccomandazione affinché tutti gli Stati membri e i soggetti_dell'Unione attuino una sospensione temporanea dei flussi di dati verso il soggetto dell'Unione interessato.

Ai fini del primo comma, lettera c), i destinatari dell'avvertimento sono adeguatamente circoscritti, se necessario in considerazione di un rischio per la cibersicurezza.

Gli avvertimenti e le raccomandazioni emanati ai sensi del primo comma sono indirizzati al livello_di_dirigenza_più_elevato del soggetto dell'Unione interessato.

3. Qualora l'IICB abbia adottato misure a norma del paragrafo 2, primo comma, lettere da a) a g), il soggetto dell'Unione interessato fornisce dettagli delle misure e azioni adottate per ovviare alle presunte carenze individuate dall'IICB. Il soggetto dell'Unione presenta tali dettagli entro un periodo di tempo ragionevole da concordare con l'IICB.

4. Qualora l'IICB ritenga che vi sia una violazione persistente del presente regolamento da parte di un soggetto dell'Unione derivante direttamente da azioni o omissioni di un funzionario o altro agente dell'Unione, anche al livello_di_dirigenza_più_elevato, l'IICB chiede al soggetto dell'Unione interessato di adottare misure appropriate, anche chiedendo di prendere in considerazione l'adozione di misure di natura disciplinare, conformemente alle norme e alle procedure stabilite nello statuto del personale e a qualsiasi altra norma e procedura applicabile. A tal fine, l'IICB trasferisce le informazioni necessarie al soggetto dell'Unione interessato.

5. Qualora i soggetti_dell'Unione comunichino di non essere in grado di rispettare le scadenze di cui all'articolo 6, paragrafo 1, e all'articolo 8, paragrafo 1, l'IICB può, in casi debitamente motivati e tenendo conto delle dimensioni del soggetto dell'Unione, autorizzarne la proroga.

CAPO IV

CERT-UE

whereas

keyboard_tab Cyber Resilience Act 2023/2841 IT

Cyber Resilience Act 2023/2841 IT