search

keyboard_tab Cyber Resilience Act 2023/2841 IT

 BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 IT cercato: 'qualità' . Output generated live by software developed by IusOnDemand srl


expand index qualità:


whereas qualità:


definitions:


cloud tag: and the number of total unique words without stopwords is: 458

 

Articolo 4

Trattamento dei dati personali

1.   Il trattamento dei dati personali a norma del presente regolamento da parte del CERT-UE, del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e dei soggetti_dell'Unione è effettuato in conformità del regolamento (UE) 2018/1725.

2.   Nello svolgimento dei compiti o nell'adempimento degli obblighi previsti dal presente regolamento, il CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e i soggetti_dell'Unione trattano e scambiano i dati personali solo nella misura necessaria e al solo scopo di svolgere tali compiti o adempiere a tali obblighi.

3.   Il trattamento di categorie particolari di dati personali di cui all'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 è considerato necessario per motivi di interesse pubblico rilevante a norma dell'articolo 10, paragrafo 2, lettera g), di tale regolamento. Tali dati possono essere trattati solo nella misura necessaria per l'attuazione delle misure di gestione dei rischi per la cibersicurezza di cui agli articoli 6 e 8, per la fornitura di servizi da parte del CERT-UE a norma dell'articolo 13, per la condivisione di informazioni specifiche su un incidente a norma dell'articolo 17, paragrafo 3, e dell'articolo 18, paragrafo 3, per la condivisione di informazioni a norma dell'articolo 20, per gli obblighi di segnalazione a norma dell'articolo 21, per il coordinamento della risposta e la cooperazione in caso di incidenti a norma dell'articolo 22 e per la gestione_degli_incidenti gravi a norma dell'articolo 23 del presente regolamento. I soggetti_dell'Unione e il CERT-UE, quando agiscono in qualità di titolari del trattamento, applicano misure tecniche per prevenire il trattamento di categorie particolari di dati personali per scopi diversi e prevedono misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati.

CAPO II

MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA

Articolo 8

Misure di gestione dei rischi per la cibersicurezza

1.   Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.

2.   Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:

a)

la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo;

b)

le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi;

c)

gli obiettivi strategici relativi all'uso dei servizi di cloud computing;

d)

un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile;

e)

l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza;

f)

l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità;

g)

la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;

h)

la sicurezza delle risorse umane e il controllo degli accessi;

i)

la sicurezza delle operazioni;

j)

la sicurezza delle comunicazioni;

k)

l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità;

l)

se possibile, le politiche in materia di trasparenza del codice sorgente;

m)

la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi;

n)

la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione;

o)

la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e

p)

la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza.

Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.

3.   I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:

a)

disposizioni tecniche per consentire e sostenere il telelavoro;

b)

provvedimenti concreti per compiere progressi verso i principi fiducia zero;

c)

l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete;

d)

l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura;

e)

se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione;

f)

misure proattive per l'identificazione e la rimozione di software maligni e spyware;

g)

l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software;

h)

l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento;

i)

la regolare formazione del personale in materia di cibersicurezza;

j)

se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione;

k)

il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:

i)

l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE;

ii)

gli obblighi contrattuali di segnalare gli incidenti, le vulnerabilità e le minacce informatiche, così come di avere predisposti adeguati meccanismi di risposta e controllo in caso di incidenti.

Articolo 10

Comitato interistituzionale per la cibersicurezza

1.   È istituito un comitato interistituzionale per la cibersicurezza (IICB).

2.   L'IICB ha il compito di:

a)

controllare e sostenere l'attuazione del presente regolamento da parte dei soggetti_dell'Unione;

b)

vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE e imprimere a tale centro una direzione strategica.

3.   L'IICB è composto da:

a)

un rappresentante designato da ciascuno dei seguenti soggetti:

i)

il Parlamento europeo;

ii)

il Consiglio europeo;

iii)

il Consiglio dell'Unione europea;

iv)

la Commissione;

v)

la Corte di giustizia dell'Unione europea;

vi)

la Banca centrale europea;

vii)

la Corte dei conti;

viii)

il Servizio europeo per l'azione esterna;

ix)

il Comitato economico e sociale europeo;

x)

il Comitato europeo delle regioni;

xi)

la Banca europea per gli investimenti;

xii)

il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca;

xiii)

l'ENISA;

xiv)

il Garante europeo della protezione dei dati (GEPD);

xv)

l'Agenzia dell'Unione europea per il programma spaziale;

b)

tre rappresentanti designati dalla rete delle agenzie dell'Unione (EUAN) su proposta del suo comitato consultivo TIC per difendere gli interessi degli organi e degli organismi dell'Unione che gestiscono il proprio ambiente TIC diversi da quelli di cui alla lettera a).

I soggetti_dell'Unione rappresentati nell'IICB mirano a conseguire l'equilibrio di genere tra i rappresentanti designati.

4.   I membri dell'IICB possono farsi assistere da un supplente. Altri rappresentanti dei soggetti_dell'Unione di cui al paragrafo 3 o di altri soggetti_dell'Unione possono essere invitati dal presidente ad assistere alle riunioni dell'IICB senza avere diritto di voto.

5.   Il direttore del CERT-UE e i presidenti del gruppo di cooperazione, della rete di CSIRT e della rete EU-CyCLONe, istituiti, rispettivamente, a norma degli articoli 14, 15 e 16 della direttiva (UE) 2022/2555, o i loro supplenti possono partecipare alle riunioni dell'IICB in qualità di osservatori. In casi eccezionali l'IICB può decidere diversamente, conformemente al proprio regolamento interno.

6.   L'IICB adotta il proprio regolamento interno.

7.   L'IICB designa un presidente, conformemente al proprio regolamento interno, tra i suoi membri per un periodo di tre anni. Il supplente del presidente diventa membro a pieno titolo dell'IICB per la stessa durata.

8.   L'IICB si riunisce almeno tre volte all'anno su iniziativa del presidente, su richiesta del CERT-UE o su richiesta di uno dei membri.

9.   Ciascun membro dell'IICB dispone di un voto. Le decisioni dell'IICB sono adottate a maggioranza semplice, salvo ove il presente regolamento disponga diversamente. Il presidente dell'IICB non dispone di un voto, tranne in caso di parità di voti, nel qual caso può esprimere il voto decisivo.

10.   L'IICB può deliberare mediante una procedura scritta semplificata avviata conformemente al proprio regolamento interno. In base a tale procedura la pertinente decisione è considerata approvata entro il termine fissato dal presidente, salvo obiezioni da parte di uno dei membri.

11.   Le funzioni di segretariato dell'IICB sono espletate dalla Commissione e il segretariato rende conto al presidente dell'IICB.

12.   I rappresentanti nominati dall'EUAN trasmettono le decisioni dell'IICB ai membri dell'EUAN. Ogni membro dell'EUAN ha la facoltà di sottoporre a tali rappresentanti o al presidente dell'IICB ogni questione che ritenga debba essere portata all'attenzione di tale comitato.

13.   L'IICB può istituire un comitato esecutivo che lo assista nel suo lavoro e può delegare a tale comitato alcuni dei suoi compiti e poteri. L'IICB stabilisce il regolamento interno del comitato esecutivo, compresi i suoi compiti e i suoi poteri, e il mandato dei suoi membri.

14.   Entro l'8 gennaio 2025 e successivamente a cadenza annuale, l'IICB presenta al Parlamento europeo e al Consiglio una relazione che illustra i progressi compiuti nell'attuazione del presente regolamento e precisa, in particolare, la portata della cooperazione del CERT-UE con i suoi omologhi degli Stati membri in ciascuno Stato membro. La relazione costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell'Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.


whereas
keyboard_arrow_down