keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definizioni
- 1 Art. 8 Misure di gestione dei rischi per la cibersicurezza
- 1 Art. 13 Missione e compiti del CERT-UE
- 1 Art. 17 Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
- 1 Art. 23 Gestione degli incidenti gravi
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 55
- cibersicurezza 32
- cert-ue 32
- articolo 29
- soggetti_dell 29
- incidenti 25
- soggetto 20
- informazioni 19
- ue / 18
- gestione 17
- servizi 16
- direttiva 15
- livello 14
- incidente 13
- informatiche 13
- punto 12
- caso 12
- il 11
- materia 10
- gravi 10
- vulnerabilità 10
- rischi 10
- sicurezza 9
- iicb 9
- cooperazione 9
- misure 9
- minacce 9
- rete 9
- regolamento 8
- sistemi 8
- norma 8
- crisi 8
- pertinenti 8
- interessato 8
- attuazione 7
- presente 7
- lettera 7
- membri 6
- controllo 6
- tecniche 6
- definita 6
- gestione_degli_incidenti 6
- definito 6
- stati 6
- ambiente 5
- omologhi 5
- csirt 5
- compiti 5
- sviluppo 5
- seguenti: 5
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) | « soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi; |
2) | « sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555; |
3) | « sicurezza_dei_sistemi_informativi_e_di_rete»: la sicurezza_dei_sistemi_informativi_e_di_rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555; |
4) | « cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; |
5) | « livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza; |
6) | « quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555; |
7) | « incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555; |
8) | « incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione; |
9) | « incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555; |
10) | « gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555; |
11) | « minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881; |
12) | « minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555; |
13) | « vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555; |
14) | «rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555; |
15) | « servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555. |
Articolo 8
Misure di gestione dei rischi per la cibersicurezza
1. Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.
2. Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:
a) | la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo; |
b) | le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi; |
c) | gli obiettivi strategici relativi all'uso dei servizi di cloud computing; |
d) | un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile; |
e) | l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza; |
f) | l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità; |
g) | la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC; |
h) | la sicurezza delle risorse umane e il controllo degli accessi; |
i) | la sicurezza delle operazioni; |
j) | la sicurezza delle comunicazioni; |
k) | l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità; |
l) | se possibile, le politiche in materia di trasparenza del codice sorgente; |
m) | la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi; |
n) | la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione; |
o) | la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e |
p) | la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza. |
Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.
3. I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:
a) | disposizioni tecniche per consentire e sostenere il telelavoro; |
b) | provvedimenti concreti per compiere progressi verso i principi fiducia zero; |
c) | l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete; |
d) | l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura; |
e) | se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione; |
f) | misure proattive per l'identificazione e la rimozione di software maligni e spyware; |
g) | l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software; |
h) | l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento; |
i) | la regolare formazione del personale in materia di cibersicurezza; |
j) | se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione; |
k) | il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:
|
Articolo 13
Missione e compiti del CERT-UE
1. La missione del CERT-UE consiste nel contribuire alla sicurezza dell'ambiente TIC non riservato dei soggetti_dell'Unione fornendo loro consulenza in materia di cibersicurezza, aiutandoli a prevenire, rilevare, affrontare e attenuare gli incidenti e a rispondervi e riprendersi dagli stessi, e fungendo per tali soggetti da piattaforma per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta in caso di incidenti.
2. Il CERT-UE raccoglie, gestisce, analizza e condivide informazioni con i soggetti_dell'Unione sulle minacce informatiche, le vulnerabilità e gli incidenti riguardanti le infrastrutture TIC non riservate. Coordina le risposte agli incidenti a livello interistituzionale e a livello di soggetti_dell'Unione, anche assicurando o coordinando la prestazione di assistenza operativa specializzata.
3. Il CERT-UE svolge i seguenti compiti per assistere i soggetti_dell'Unione:
a) | li assiste nell'attuazione del presente regolamento e contribuisce al coordinamento della sua attuazione tramite le misure elencate all'articolo 14, paragrafo 1, o tramite relazioni ad hoc richieste dall'IICB; |
b) | offre servizi CSIRT standard per i soggetti_dell'Unione attraverso un pacchetto di servizi di cibersicurezza descritti nel proprio catalogo dei servizi («servizi di base»); |
c) | mantiene una rete di omologhi e partner a sostegno dei propri servizi, come indicato agli articoli 17 e 18; |
d) | richiama l'attenzione dell'IICB su ogni problema relativo all'attuazione del presente regolamento e all'attuazione degli indirizzi, delle raccomandazioni e degli inviti a intervenire; |
e) | sulla base delle informazioni di cui al paragrafo 2, contribuisce alla consapevolezza situazionale informatica dell'Unione in stretta cooperazione con l'ENISA; |
f) | coordina la gestione_degli_incidenti gravi; |
g) | funge, per i soggetti_dell'Unione, da equivalente del coordinatore designato ai fini della divulgazione coordinata delle vulnerabilità di cui all'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555; |
h) | fornisce, su richiesta di un soggetto dell'Unione, la scansione proattiva e non invasiva dei sistemi informativi e di rete accessibili al pubblico di tale soggetto dell'Unione. |
Le informazioni di cui al primo comma, lettera e), sono condivise con l'IICB, la rete CSIRT e il Centro UE di situazione e di intelligence (INTCEN), ove applicabile e appropriato, e sono soggette ad adeguate condizioni di riservatezza.
4. Il CERT-UE può cooperare, conformemente all'articolo 17 o 18, a seconda dei casi, con le pertinenti comunità di cibersicurezza all'interno dell'Unione e dei suoi Stati membri, anche nei settori seguenti:
a) | preparazione, coordinamento in caso di incidente, scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati ai soggetti_dell'Unione; |
b) | cooperazione operativa per quanto riguarda la rete CSIRT, anche per l'assistenza reciproca; |
c) | intelligence relativa alle minacce informatiche, compresa la consapevolezza situazionale; |
d) | ogni tematica che richieda le competenze tecniche in materia di cibersicurezza del CERT-UE. |
5. Nell'ambito delle sue competenze il CERT-UE avvia una cooperazione strutturata con l'ENISA in materia di sviluppo di capacità, cooperazione operativa e analisi strategiche a lungo termine delle minacce informatiche ai sensi del regolamento (UE) 2019/881. Il CERT-UE può cooperare e scambiare informazioni con il Centro per la lotta alla criminalità informatica di Europol.
6. Il CERT-UE può prestare i seguenti servizi non descritti nel suo catalogo dei servizi («servizi addebitabili»):
a) | servizi a sostegno della cibersicurezza dell'ambiente TIC dei soggetti_dell'Unione, diversi da quelli di cui al paragrafo 3, forniti in base ad accordi sul livello dei servizi e compatibilmente con le risorse disponibili, in particolare il controllo della rete ad ampio spettro, compreso il controllo di prima linea 24 ore al giorno, 7 giorni su 7, per le minacce informatiche di gravità elevata; |
b) | servizi a sostegno di operazioni o progetti di cibersicurezza dei soggetti_dell'Unione, diversi da quelli volti a proteggere il loro ambiente TIC, forniti in base ad accordi scritti e previa approvazione dell'IICB; |
c) | su richiesta, una scansione proattiva dei sistemi informativi e di rete del soggetto dell'Unione interessato per individuare le vulnerabilità con un potenziale impatto significativo; |
d) | servizi a sostegno della sicurezza dell'ambiente TIC di organizzazioni diverse dai soggetti_dell'Unione e che cooperano strettamente con tali soggetti, ad esempio perché investite di compiti o responsabilità ai sensi del diritto dell'Unione, forniti in base ad accordi scritti e previa approvazione dell'IICB. |
Per quanto riguarda il primo comma, lettera d), in via eccezionale il CERT-UE può stipulare accordi sul livello dei servizi con soggetti diversi da quelli dell'Unione, previa approvazione dell'IICB.
7. Il CERT-UE organizza esercitazioni di cibersicurezza e può parteciparvi o raccomandare la partecipazione alle esercitazioni esistenti, se del caso in stretta cooperazione con l'ENISA, per verificare il livello di cibersicurezza dei soggetti_dell'Unione.
8. Il CERT-UE può fornire assistenza ai soggetti_dell'Unione in caso di incidenti in reti e sistemi informativi che trattano ICUE se i soggetti_dell'Unione interessati lo richiedono esplicitamente in conformità delle rispettive procedure. La fornitura di assistenza da parte del CERT-UE ai sensi del presente paragrafo non pregiudica le norme applicabili in materia di protezione delle informazioni classificate.
9. Il CERT-UE informa i soggetti_dell'Unione delle sue procedure e dei suoi processi di gestione_degli_incidenti.
10. Il CERT-UE fornisce, con un elevato livello di riservatezza e affidabilità, attraverso meccanismi di cooperazione e linee gerarchiche appropriati, informazioni pertinenti e anonimizzate sugli incidenti gravi e sul modo in cui sono stati gestiti. Tali informazioni sono inserite nella relazione di cui all’articolo 10, paragrafo 14.
11. Il CERT-UE, in collaborazione con il GEPD, sostiene i soggetti_dell'Unione interessati nei casi di incidenti che comportano violazioni di dati personali, senza pregiudicare la competenza e i compiti del GEPD in quanto autorità di controllo ai sensi del regolamento (UE) 2018/1725.
12. Su esplicita richiesta dei dipartimenti politici dei soggetti_dell'Unione, il CERT-UE può fornire consulenza tecnica o contributi tecnici su importanti questioni strategiche.
Articolo 17
Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
1. Il CERT-UE coopera e scambia informazioni con omologhi degli Stati membri senza indebito ritardo, in particolare con gli CSIRT designati o istituiti a norma dell'articolo 10 della direttiva (UE) 2022/2555 o, se del caso, con le autorità competenti e i punti di contatto unici designati o istituiti a norma dell'articolo 8 di tale direttiva, riguardo a incidenti, minacce informatiche, vulnerabilità, quasi incidenti, possibili contromisure e migliori pratiche e su tutte le questioni pertinenti per migliorare la protezione degli ambienti TIC dei soggetti_dell'Unione, anche mediante la rete CSIRT istituita a norma dell'articolo 15 della direttiva (UE) 2022/2555. Il CERT-UE sostiene la Commissione in seno all'EU-CyCLONe istituito a norma dell'articolo 16 della direttiva (UE) 2022/2555 in merito alla gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.
2. Quando viene a conoscenza di un incidente significativo che si verifica nel territorio di uno Stato membro, il CERT-UE informa senza indugio gli omologhi pertinenti di quello Stato membro, in conformità del paragrafo 1.
3. A condizione che i dati personali siano protetti conformemente al diritto dell'Unione applicabile in materia di protezione dei dati, il CERT-UE scambia senza indebito ritardo informazioni pertinenti specifiche su un incidente con gli omologhi degli Stati membri per facilitare il rilevamento di minacce informatiche o incidenti analoghi o per contribuire all'analisi di un incidente, senza l'autorizzazione del soggetto dell'Unione interessato. Il CERT-UE scambia informazioni specifiche su un incidente che rivelino l’identità del bersaglio dell’ incidente di cibersicurezza solo in uno dei casi seguenti:
a) | il soggetto dell'Unione interessato vi acconsente; |
b) | il soggetto dell'Unione interessato non vi acconsente come stabilito alla lettera a), ma la diffusione dell'identità del soggetto dell'Unione interessato aumenterebbe la probabilità di evitare o attenuare incidenti altrove; |
c) | il soggetto dell'Unione interessato ha già reso pubblico il proprio coinvolgimento. |
Le decisioni di scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio a norma del primo comma, lettera b), sono avallate dal direttore del CERT-UE. Prima di emettere tale decisione, il CERT-UE contatta per iscritto il soggetto dell'Unione interessato, spiegando chiaramente in che modo la divulgazione della sua identità contribuirebbe a evitare o attenuare incidenti altrove. Il direttore del CERT-UE fornisce la spiegazione e chiede esplicitamente al soggetto dell'Unione di dichiarare se acconsente entro un termine stabilito. Il direttore del CERT-UE informa inoltre il soggetto dell'Unione che, alla luce della spiegazione fornita, si riserva il diritto di divulgare le informazioni anche in assenza di consenso. Il soggetto dell'Unione interessato è informato prima che le informazioni siano divulgate.
Articolo 23
Gestione degli incidenti gravi
1. Al fine di sostenere a livello operativo la gestione coordinata degli incidenti gravi che interessano i soggetti_dell'Unione e per contribuire allo scambio periodico di informazioni pertinenti tra i soggetti_dell'Unione e con gli Stati membri, l'IICB istituisce, a norma dell'articolo 11, lettera q), un piano di gestione delle crisi informatiche basato sulle attività di cui all'articolo 22, paragrafo 2, in stretta cooperazione con il CERT-UE e l'ENISA. Il piano di gestione delle crisi informatiche comprende almeno gli elementi seguenti:
a) | disposizioni relative al coordinamento e al flusso di informazioni tra i soggetti_dell'Unione per la gestione_degli_incidenti gravi a livello operativo; |
b) | procedure operative standard comuni; |
c) | una tassonomia comune della gravità degli incidenti gravi e dei punti di innesco delle crisi; |
d) | esercitazioni periodiche; |
e) | canali di comunicazione sicuri da utilizzare. |
2. Fatto salvo il piano di gestione delle crisi informatiche istituito a norma del paragrafo 1 del presente articolo e fatto salvo l'articolo 16, paragrafo 2, primo comma, della direttiva (UE) 2022/2555, il rappresentante della Commissione nell'IICB è il punto di contatto per la condivisione delle informazioni pertinenti in relazione agli incidenti gravi con EU-CyCLONe.
3. Il CERT-UE coordina, fra i soggetti_dell'Unione, la gestione_degli_incidenti gravi. Tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti_dell'Unione per gli incidenti gravi di cui all'articolo 9, paragrafo 2.
4. I soggetti_dell'Unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.
CAPO VI
DISPOSIZIONI FINALI
whereas