keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Misure di gestione dei rischi per la cibersicurezza
- 2 Art. 11 Compiti dell'IICB
- 2 Art. 12 Osservanza delle disposizioni
- 1 Art. 16 Questioni finanziarie e relative al personale
- 1 Art. 21 Obblighi di segnalazione
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 60
- cert-ue 40
- cibersicurezza 31
- soggetti_dell 30
- soggetto 27
- articolo 26
- misure 20
- iicb 19
- presente 17
- incidente 17
- caso 17
- gestione 15
- servizi 14
- incidenti 14
- interessato 13
- informazioni 12
- rischi 12
- norma 11
- regolamento 11
- raccomandazioni 10
- relazione 10
- impatto 10
- livello 9
- significativo 9
- sicurezza 9
- approva 8
- direttore 8
- proposta 7
- sensi 7
- base 7
- i 7
- indirizzi 7
- adozione 7
- fine 7
- attuazione 7
- conto 7
- materia 6
- vulnerabilità 6
- informatiche 6
- indebito 6
- ritardo 6
- personale 5
- accordi 5
- audit 5
- controlla 5
- qualora 5
- sistemi 5
- lettera 5
- primo 5
- notifica 5
Articolo 8
Misure di gestione dei rischi per la cibersicurezza
1. Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.
2. Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:
| a) | la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo; |
| b) | le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi; |
| c) | gli obiettivi strategici relativi all'uso dei servizi di cloud computing; |
| d) | un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile; |
| e) | l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza; |
| f) | l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità; |
| g) | la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC; |
| h) | la sicurezza delle risorse umane e il controllo degli accessi; |
| i) | la sicurezza delle operazioni; |
| j) | la sicurezza delle comunicazioni; |
| k) | l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità; |
| l) | se possibile, le politiche in materia di trasparenza del codice sorgente; |
| m) | la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi; |
| n) | la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione; |
| o) | la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e |
| p) | la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza. |
Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.
3. I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:
| a) | disposizioni tecniche per consentire e sostenere il telelavoro; |
| b) | provvedimenti concreti per compiere progressi verso i principi fiducia zero; |
| c) | l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete; |
| d) | l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura; |
| e) | se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione; |
| f) | misure proattive per l'identificazione e la rimozione di software maligni e spyware; |
| g) | l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software; |
| h) | l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento; |
| i) | la regolare formazione del personale in materia di cibersicurezza; |
| j) | se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione; |
| k) | il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:
|
Articolo 11
Compiti dell'IICB
Nell'esercizio delle sue responsabilità l'IICB, in particolare:
| a) | fornisce orientamenti al direttore del CERT-UE; |
| b) | controlla e vigila efficacemente sull'attuazione del presente regolamento e sostiene i soggetti_dell'Unione nel rafforzamento della loro cibersicurezza, anche, se del caso, richiedendo relazioni ad hoc ai soggetti_dell'Unione e al CERT-UE; |
| c) | previa discussione strategica, adotta una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti_dell'Unione, valuta tale strategia periodicamente e comunque ogni cinque anni e, ove necessario, la modifica; |
| d) | stabilisce la metodologia e gli aspetti organizzativi per lo svolgimento di riesami inter pares volontari da parte di soggetti_dell'Unione, al fine di trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di cibersicurezza e migliorare le capacità di cibersicurezza dei soggetti_dell'Unione, garantendo che tali riesami inter pares siano condotti da esperti di cibersicurezza designati da un soggetto dell'Unione diverso da quello sottoposto al riesame e che la metodologia si basi sull'articolo 19 della direttiva (UE) 2022/2555 e sia, se del caso, adattata ai soggetti_dell'Unione; |
| e) | approva, sulla base di una proposta del direttore del CERT-UE, il programma di lavoro annuale del CERT-UE e ne controlla l'attuazione; |
| f) | approva, sulla base di una proposta del direttore del CERT-UE, il catalogo dei servizi offerti dal CERT-UE e ogni suo aggiornamento; |
| g) | approva, sulla base di una proposta del direttore del CERT-UE, la pianificazione finanziaria annuale delle entrate e delle spese, anche in materia di personale, per le attività del CERT-UE; |
| h) | approva, sulla base di una proposta del direttore del CERT-UE, le modalità degli accordi sul livello dei servizi; |
| i) | esamina e approva la relazione annuale elaborata dal direttore del CERT-UE riguardante le attività del CERT-UE, nonché la gestione dei fondi da parte di quest'ultimo; |
| j) | approva e controlla gli indicatori essenziali di prestazione per il CERT-UE stabiliti sulla base di una proposta del direttore del CERT-UE; |
| k) | approva gli accordi di cooperazione, gli accordi sul livello dei servizi o i contratti tra il CERT-UE e altri soggetti ai sensi dell'articolo 18; |
| l) | adotta indirizzi e raccomandazioni sulla base di una proposta del CERT-UE conformemente all'articolo 14 e dà istruzione al CERT-UE di emanare, ritirare o modificare una proposta relativa a indirizzi o raccomandazioni, o un invito a intervenire; |
| m) | istituisce gruppi di consulenza tecnica con compiti specifici per assistere l'IICB nel suo operato, approva il loro mandato e ne designa i rispettivi presidenti; |
| n) | riceve e valuta i documenti e le relazioni presentati dai soggetti_dell'Unione a norma del presente regolamento, come le valutazioni di maturità della cibersicurezza; |
| o) | facilita l'istituzione di un gruppo informale di responsabili locali della cibersicurezza dei soggetti_dell'Unione, con il sostegno dell'ENISA, allo scopo di scambiare migliori pratiche e informazioni in relazione all'attuazione del presente regolamento; |
| p) | tenendo conto delle informazioni sui rischi di cibersicurezza individuati e degli insegnamenti tratti dal CERT-UE, controlla l'adeguatezza degli accordi di interconnettività tra gli ambienti TIC dei soggetti_dell'Unione e fornisce consulenza su eventuali miglioramenti; |
| q) | istituisce un piano di gestione delle crisi informatiche al fine di sostenere, a livello operativo, la gestione coordinata degli incidenti gravi che colpiscono i soggetti_dell'Unione e al fine di contribuire allo scambio regolare di informazioni pertinenti, in particolare per quanto riguarda l'impatto e l'entità degli incidenti gravi e i possibili modi per attenuarne gli effetti; |
| r) | coordina l'adozione dei piani individuali di gestione delle crisi informatiche dei soggetti_dell'Unione di cui all'articolo 9, paragrafo 2; |
| s) | adotta raccomandazioni relative alla sicurezza delle catene di approvvigionamento di cui all'articolo 8, paragrafo 2, primo comma, lettera m), tenendo conto dei risultati delle valutazioni coordinate a livello dell'Unione dei rischi di sicurezza delle catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti_dell'Unione nell'adozione di misure di gestione dei rischi di cibersicurezza efficaci e proporzionate. |
Articolo 12
Osservanza delle disposizioni
1. L'IICB, a norma dell'articolo 10, paragrafo 2, e dell'articolo 11, controlla efficacemente che i soggetti_dell'Unione attuino il presente regolamento e gli indirizzi, le raccomandazioni e gli inviti a intervenire da loro adottati. L'IICB può chiedere ai soggetti_dell'Unione le informazioni o la documentazione necessarie a tal fine. Ai fini dell'adozione di misure di osservanza ai sensi del presente articolo, il soggetto dell'Unione interessato, se è direttamente rappresentato nell’IICB, ’non ha diritto di voto.
2. Qualora constati che un soggetto dell'Unione non ha attuato efficacemente il presente regolamento o gli indirizzi, le raccomandazioni o gli inviti a intervenire emanati in base ad esso, ferme restando le procedure interne del soggetto dell'Unione interessato e dopo aver dato a quest'ultimo l'opportunità di presentare le proprie opinioni, l'IICB può:
| a) | comunicare al soggetto dell'Unione interessato un parere motivato sulle carenze osservate nell'attuazione del presente regolamento; |
| b) | previa consultazione del CERT-UE, fornire indirizzi al soggetto dell'Unione interessato affinché il suo quadro, le sue misure di gestione del rischio di cibersicurezza, il suo piano di cibersicurezza e le sue relazioni si conformino al presente regolamento entro un termine specificato; |
| c) | emanare un avvertimento per rimediare alle carenze individuate entro un termine specificato, comprese raccomandazioni per modificare le misure adottate dal soggetto dell'Unione interessato ai sensi del presente regolamento; |
| d) | inviare una notifica motivata al soggetto dell'Unione interessato nel caso in cui entro il termine specificato non sia stato posto sufficiente rimedio alle carenze individuate in un avvertimento emanato a norma della lettera c); |
| e) | emanare:
|
| f) | se del caso, informare la Corte dei conti, nell'ambito del suo mandato, della presunta inosservanza; |
| g) | emanare una raccomandazione affinché tutti gli Stati membri e i soggetti_dell'Unione attuino una sospensione temporanea dei flussi di dati verso il soggetto dell'Unione interessato. |
Ai fini del primo comma, lettera c), i destinatari dell'avvertimento sono adeguatamente circoscritti, se necessario in considerazione di un rischio per la cibersicurezza.
Gli avvertimenti e le raccomandazioni emanati ai sensi del primo comma sono indirizzati al livello_di_dirigenza_più_elevato del soggetto dell'Unione interessato.
3. Qualora l'IICB abbia adottato misure a norma del paragrafo 2, primo comma, lettere da a) a g), il soggetto dell'Unione interessato fornisce dettagli delle misure e azioni adottate per ovviare alle presunte carenze individuate dall'IICB. Il soggetto dell'Unione presenta tali dettagli entro un periodo di tempo ragionevole da concordare con l'IICB.
4. Qualora l'IICB ritenga che vi sia una violazione persistente del presente regolamento da parte di un soggetto dell'Unione derivante direttamente da azioni o omissioni di un funzionario o altro agente dell'Unione, anche al livello_di_dirigenza_più_elevato, l'IICB chiede al soggetto dell'Unione interessato di adottare misure appropriate, anche chiedendo di prendere in considerazione l'adozione di misure di natura disciplinare, conformemente alle norme e alle procedure stabilite nello statuto del personale e a qualsiasi altra norma e procedura applicabile. A tal fine, l'IICB trasferisce le informazioni necessarie al soggetto dell'Unione interessato.
5. Qualora i soggetti_dell'Unione comunichino di non essere in grado di rispettare le scadenze di cui all'articolo 6, paragrafo 1, e all'articolo 8, paragrafo 1, l'IICB può, in casi debitamente motivati e tenendo conto delle dimensioni del soggetto dell'Unione, autorizzarne la proroga.
CAPO IV
CERT-UE
Articolo 16
Questioni finanziarie e relative al personale
1. Il CERT-UE è integrato nella struttura amministrativa di una direzione generale della Commissione al fine di beneficiare delle strutture di sostegno amministrativo, finanziario e contabile della Commissione, mantenendo nel contempo il suo status di prestatore di servizi interistituzionale autonomo per tutti i soggetti_dell'Unione. La Commissione informa l'IICB in merito alla collocazione amministrativa del CERT-UE e a eventuali cambiamenti al riguardo. La Commissione riesamina le disposizioni amministrative relative al CERT-UE periodicamente e in ogni caso prima della definizione di un quadro finanziario pluriennale a norma dell'articolo 312 TFUE, al fine di consentire l'adozione di misure adeguate. Il riesame include la possibilità di istituire il CERT-UE come organismo dell'Unione.
2. Per l'applicazione delle procedure amministrative e finanziarie, il direttore del CERT-UE agisce sotto l'autorità della Commissione e sotto la supervisione dell'IICB.
3. I compiti e le attività del CERT-UE, compresi i servizi da esso prestati ai sensi dell'articolo 13, paragrafi 3, 4, 5 e 7, e dell'articolo 14, paragrafo 1, ai soggetti_dell'Unione rientranti nella rubrica del quadro finanziario pluriennale relativa alla pubblica amministrazione europea, sono finanziati tramite una linea distinta del bilancio della Commissione. I posti riservati al CERT-UE sono specificati in una nota a piè di pagina della tabella dell'organico della Commissione.
4. I soggetti_dell'Unione diversi da quelli di cui al paragrafo 3 del presente articolo forniscono un contributo finanziario annuale al CERT-UE per coprire i servizi da esso prestati ai sensi dello stesso paragrafo. I contributi sono basati su orientamenti dati dall'IICB e concordati tra ciascun soggetto dell'Unione e il CERT-UE in accordi sul livello dei servizi. I contributi rappresentano una quota equa e proporzionata dei costi totali dei servizi forniti. Essi sono assegnati alla linea di bilancio distinta di cui al paragrafo 3 del presente articolo, come entrate con destinazione specifica interna ai sensi dell'articolo 21, paragrafo 3, lettera c), del regolamento (UE, Euratom) 2018/1046.
5. I costi dei servizi di cui all'articolo 13, paragrafo 6, sono a carico dei soggetti_dell'Unione che ricevono i servizi del CERT-UE. Le entrate sono destinate alle linee di bilancio che sostengono i costi.
Articolo 21
Obblighi di segnalazione
1. Un incidente è considerato significativo se:
| a) | ha causato o è in grado di causare una grave perturbazione operativa per il funzionamento del soggetto dell'Unione interessato o perdite finanziarie per lo stesso; |
| b) | ha interessato o è in grado di interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali. |
2. I soggetti_dell'Unione presentano al CERT-UE:
| a) | senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti; |
| b) | senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica di incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; |
| c) | su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione; |
| d) | una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda:
|
| e) | in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente. |
3. Un soggetto dell'Unione informa gli omologhi pertinenti degli Stati membri di cui all'articolo 17, paragrafo 1, nello Stato membro in cui ha sede del fatto che si è verificato un incidente significativo, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne è venuto a conoscenza.
4. I soggetti_dell'Unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, l'impatto sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. Fatto salvo l'articolo 12, la sola notifica non espone il soggetto dell'Unione a una maggiore responsabilità.
5. Se del caso, i soggetti_dell'Unione comunicano, senza indebito ritardo, agli utenti dei sistemi informativi e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia_informatica significativa e, se del caso, che devono adottare misure di attenuazione, qualsiasi misura o azione correttiva che possano adottare in risposta a tale incidente o minaccia. Se del caso, i soggetti_dell'Unione informano tali utenti della minaccia_informatica significativa stessa.
6. Qualora un incidente significativo o una minaccia_informatica significativa interessi un sistema_informativo_e_di_rete o una componente dell'ambiente TIC di un soggetto dell'Unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'Unione, il CERT-UE emette una segnalazione di cibersicurezza.
7. I soggetti_dell'Unione, su richiesta del CERT-UE, forniscono senza indebito ritardo al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può fornire ulteriori dettagli sui tipi di informazioni di cui ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.
8. Il CERT-UE trasmette ogni tre mesi all'IICB, all'ENISA, all'EU INTCEN e alla rete CSIRT una relazione di sintesi che comprende dati anonimizzati e aggregati su incidenti significativi, incidenti, minacce informatiche, quasi incidenti e vulnerabilità a norma dell'articolo 20 e sugli incidenti significativi notificati conformemente al paragrafo 2 del presente articolo. La relazione di sintesi costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell’Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.
9. Entro l'8 luglio 2024, l'IICB emana indirizzi o raccomandazioni che precisano ulteriormente le modalità, il formato e il contenuto della segnalazione a norma del presente articolo. Nell'elaborare tali indirizzi o raccomandazioni, l'IICB tiene conto degli atti di esecuzione adottati a norma dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555, che specificano il tipo di informazioni, il formato e la procedura di notifica. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti_dell'Unione.
10. Gli obblighi di segnalazione stabiliti nel presente articolo non comprendono:
| a) | le ICUE; |
| b) | le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita. |
whereas