keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 6 Quadro di gestione, di governance e di controllo dei rischi
- 2 Art. 9 Piani di cibersicurezza
- 1 Art. 21 Obblighi di segnalazione
- 1 Art. 22 Coordinamento della risposta in caso di incidenti e cooperazione
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 42
- cibersicurezza 38
- soggetto 27
- cert-ue 23
- incidente 21
- articolo 20
- incidenti 18
- caso 16
- soggetti_dell 14
- quadro 13
- presente 12
- norma 11
- il 9
- regolamento 9
- attuazione 9
- risposta 9
- relazione 9
- significativo 9
- impatto 9
- informazioni 9
- gestione 9
- rischi 8
- indebito 8
- ritardo 8
- piano 7
- livello 7
- responsabile 7
- paragrafo 6
- funzionari 6
- interessato 6
- misure 6
- livello_di_dirigenza_più_elevato 5
- ambiente 5
- iicb 5
- obblighi 5
- notifica 5
- pertinenti 5
- locale 5
- seguito 5
- ciascun 5
- coordinamento 5
- informatiche 4
- responsabilità 4
- segnalazione 4
- comitato 4
- comprende 4
- interistituzionale 4
- cooperazione 4
- risorse 4
- membro 4
Articolo 6
Quadro di gestione, di governance e di controllo dei rischi
1. Entro l'8 aprile 2025, ogni soggetto dell'Unione, dopo aver effettuato un riesame iniziale della cibersicurezza, come un audit, istituisce un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza («quadro»). L'istituzione del quadro è soggetta alla vigilanza del livello_di_dirigenza_più_elevato del soggetto dell'Unione ed è sotto la sua responsabilità.
2. Il quadro interessa la totalità dell'ambiente TIC non riservato del soggetto dell'Unione interessato, compresi ogni ambiente TIC e la rete di tecnologie operative in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso a tali ambienti («ambiente TIC»). Il quadro è basato su un approccio multirischio.
3. Il quadro garantisce un livello elevato di cibersicurezza e stabilisce le politiche interne in materia di cibersicurezza, comprensive di obiettivi e priorità, per la sicurezza delle reti e dei sistemi informativi, nonché i ruoli e le responsabilità del personale del soggetto dell'Unione incaricato di garantire l'efficace attuazione del presente regolamento. Il quadro comprende anche meccanismi per misurare l'efficacia dell'attuazione.
4. Il quadro è riesaminato periodicamente in considerazione dell'evoluzione dei rischi per la cibersicurezza e almeno ogni quattro anni. Se del caso e a seguito di una richiesta del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10, il quadro di un soggetto dell'Unione può essere aggiornato sulla base degli orientamenti del CERT-UE sugli incidenti identificati o sulle eventuali lacune osservate nell'attuazione del presente regolamento.
5. Il livello_di_dirigenza_più_elevato di ciascun soggetto dell'Unione è responsabile dell'attuazione del presente regolamento e vigila sul rispetto degli obblighi relativi al quadro da parte della propria organizzazione.
6. Se del caso e fatta salva la sua responsabilità per l'attuazione del presente regolamento, il livello_di_dirigenza_più_elevato di ciascun soggetto dell'Unione può delegare obblighi specifici a norma del presente regolamento ad alti funzionari ai sensi dell'articolo 29, paragrafo 2, dello statuto dei funzionari o ad altri funzionari di livello equivalente, in seno al soggetto dell'Unione interessato. Indipendentemente da tale delega, il livello di gestione più elevato può essere ritenuto responsabile delle violazioni del presente regolamento da parte del soggetto dell'Unione interessato.
7. Ogni soggetto dell'Unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle TIC sia spesa per la cibersicurezza. Nel fissare tale percentuale è tenuto debitamente conto del quadro.
8. Ogni soggetto dell'Unione nomina un responsabile locale per la cibersicurezza o una funzione equivalente come punto di contatto unico per tutti gli aspetti della cibersicurezza. Il responsabile locale per la cibersicurezza agevola l'attuazione del presente regolamento e riferisce direttamente al livello_di_dirigenza_più_elevato a cadenza periodica in merito allo stato di attuazione. Fermo restando che il responsabile locale per la cibersicurezza è il punto di contatto unico in ciascun soggetto dell'Unione, un soggetto dell'Unione può delegare determinati compiti del responsabile locale per la cibersicurezza in relazione all'attuazione del presente regolamento al CERT-UE sulla base di un accordo sul livello dei servizi concluso tra tale soggetto dell'Unione e il CERT-UE, oppure tali compiti possono essere condivisi tra vari soggetti_dell'Unione. In caso di delega di tali compiti al CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 decide se la fornitura di tale servizio fa parte dei servizi di base del CERT-UE, tenendo conto delle risorse umane e finanziarie del soggetto dell'Unione interessato. Ciascun soggetto dell'Unione notifica senza indebito ritardo al CERT-UE il responsabile locale per la cibersicurezza nominato e le eventuali modifiche successive.
Il CERT-UE istituisce un elenco dei responsabili locali per la cibersicurezza nominati e lo mantiene aggiornato.
9. Gli alti funzionari di cui all'articolo 29, paragrafo 2, dello statuto dei funzionari o gli altri funzionari di livello equivalente di ciascun soggetto dell'Unione, così come tutti i membri pertinenti del personale incaricato dell'attuazione delle misure di gestione dei rischi per la cibersicurezza e dell’adempimento degli obblighi stabiliti dal presente regolamento, seguono periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi per la cibersicurezza, le pratiche di gestione degli stessi e il loro impatto sulle attività del soggetto dell'Unione.
Articolo 9
Piani di cibersicurezza
1. A seguito della conclusione della valutazione di maturità della cibersicurezza svolta a norma dell'articolo 7 e considerando le risorse e i rischi per la cibersicurezza individuati nell'ambito del quadro e le misure di gestione dei rischi per la cibersicurezza adottate a norma dell'articolo 8, il livello_di_dirigenza_più_elevato di ogni soggetto dell'Unione approva, senza indebito ritardo e comunque entro l'8 gennaio 2026, un piano di cibersicurezza. Il piano di cibersicurezza è volto ad aumentare la cibersicurezza complessiva del soggetto dell'Unione e contribuisce così al rafforzamento di un livello comune elevato di cibersicurezza all'interno dei soggetti_dell'Unione. Il piano di cibersicurezza comprende come minimo le misure di gestione dei rischi per la cibersicurezza adottate in conformità dell'articolo 8. Il piano di cibersicurezza è rivisto ogni due anni o più spesso, se necessario, a seguito delle valutazioni di maturità della cibersicurezza svolte a norma dell'articolo 7 o di un riesame sostanziale del quadro.
2. Il piano di cibersicurezza comprende il piano di gestione delle crisi informatiche del soggetto dell'Unione per gli incidenti gravi.
3. Il soggetto dell'Unione trasmette il piano di cibersicurezza completo al comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10.
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
Articolo 21
Obblighi di segnalazione
1. Un incidente è considerato significativo se:
| a) | ha causato o è in grado di causare una grave perturbazione operativa per il funzionamento del soggetto dell'Unione interessato o perdite finanziarie per lo stesso; |
| b) | ha interessato o è in grado di interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali. |
2. I soggetti_dell'Unione presentano al CERT-UE:
| a) | senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti; |
| b) | senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica di incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; |
| c) | su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione; |
| d) | una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda:
|
| e) | in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente. |
3. Un soggetto dell'Unione informa gli omologhi pertinenti degli Stati membri di cui all'articolo 17, paragrafo 1, nello Stato membro in cui ha sede del fatto che si è verificato un incidente significativo, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne è venuto a conoscenza.
4. I soggetti_dell'Unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, l'impatto sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. Fatto salvo l'articolo 12, la sola notifica non espone il soggetto dell'Unione a una maggiore responsabilità.
5. Se del caso, i soggetti_dell'Unione comunicano, senza indebito ritardo, agli utenti dei sistemi informativi e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia_informatica significativa e, se del caso, che devono adottare misure di attenuazione, qualsiasi misura o azione correttiva che possano adottare in risposta a tale incidente o minaccia. Se del caso, i soggetti_dell'Unione informano tali utenti della minaccia_informatica significativa stessa.
6. Qualora un incidente significativo o una minaccia_informatica significativa interessi un sistema_informativo_e_di_rete o una componente dell'ambiente TIC di un soggetto dell'Unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'Unione, il CERT-UE emette una segnalazione di cibersicurezza.
7. I soggetti_dell'Unione, su richiesta del CERT-UE, forniscono senza indebito ritardo al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può fornire ulteriori dettagli sui tipi di informazioni di cui ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.
8. Il CERT-UE trasmette ogni tre mesi all'IICB, all'ENISA, all'EU INTCEN e alla rete CSIRT una relazione di sintesi che comprende dati anonimizzati e aggregati su incidenti significativi, incidenti, minacce informatiche, quasi incidenti e vulnerabilità a norma dell'articolo 20 e sugli incidenti significativi notificati conformemente al paragrafo 2 del presente articolo. La relazione di sintesi costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell’Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.
9. Entro l'8 luglio 2024, l'IICB emana indirizzi o raccomandazioni che precisano ulteriormente le modalità, il formato e il contenuto della segnalazione a norma del presente articolo. Nell'elaborare tali indirizzi o raccomandazioni, l'IICB tiene conto degli atti di esecuzione adottati a norma dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555, che specificano il tipo di informazioni, il formato e la procedura di notifica. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti_dell'Unione.
10. Gli obblighi di segnalazione stabiliti nel presente articolo non comprendono:
| a) | le ICUE; |
| b) | le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita. |
Articolo 22
Coordinamento della risposta in caso di incidenti e cooperazione
1. Fungendo da piattaforma per lo scambio di informazioni in materia di cibersicurezza e coordinamento della risposta in caso di incidenti, il CERT-UE facilita la circolazione delle informazioni riguardo agli incidenti, alle minacce informatiche, alle vulnerabilità e ai quasi incidenti tra:
| a) | i soggetti_dell'Unione; |
| b) | gli omologhi di cui agli articoli 17 e 18. |
2. Il CERT-UE, se del caso in stretta cooperazione con l'ENISA, facilita il coordinamento fra i soggetti_dell'Unione in materia di risposta agli incidenti, anche tramite:
| a) | il contributo a una comunicazione esterna coerente; |
| b) | il sostegno reciproco, come la condivisione di informazioni pertinenti per i soggetti_dell'Unione o la fornitura di assistenza, se del caso direttamente in loco; |
| c) | l'uso ottimale delle risorse operative; |
| d) | il coordinamento con altri meccanismi di risposta alle crisi a livello dell'Unione. |
3. Il CERT-UE, in stretta cooperazione con l'ENISA, sostiene i soggetti_dell'Unione per quanto riguarda la consapevolezza situazionale degli incidenti, delle minacce informatiche, delle vulnerabilità e dei quasi incidenti, nonché la condivisione dei pertinenti sviluppi nel settore della cibersicurezza.
4. Entro l'8 gennaio 2025, l'IICB, sulla base di una proposta del CERT-UE, adotta indirizzi o raccomandazioni sul coordinamento della risposta in caso di incidenti e sulla cooperazione in caso di incidenti significativi. In caso di sospetta natura penale di un incidente, il CERT-UE fornisce consulenza su come segnalare l' incidente alle autorità di contrasto senza indebito ritardo.
5. A seguito di una richiesta specifica di uno Stato membro e con l'approvazione dei soggetti_dell'Unione interessati, il CERT-UE può rivolgersi a esperti dell'elenco di cui all'articolo 23, paragrafo 4, per contribuire alla risposta a un incidente grave che ha un impatto in tale Stato membro o a un incidente di cibersicurezza su vasta scala conformemente all'articolo 15, paragrafo 3, lettera g), della direttiva (UE) 2022/2555. Le norme specifiche sull'accesso e il ricorso agli esperti tecnici dei soggetti_dell'Unione sono approvate dall'IICB su proposta del CERT-UE.
whereas