keyboard_tab Cyber Resilience Act 2023/2841 IT

1.   Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.

2.   Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:

a)	la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo;

b)	le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi;

c)	gli obiettivi strategici relativi all'uso dei servizi di cloud computing;

d)	un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile;

e)	l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza;

f)	l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità;

g)	la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;

h)	la sicurezza delle risorse umane e il controllo degli accessi;

i)	la sicurezza delle operazioni;

j)	la sicurezza delle comunicazioni;

k)	l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità;

l)	se possibile, le politiche in materia di trasparenza del codice sorgente;

m)	la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi;

n)	la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione;

o)	la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e

p)	la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza.

Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.

3.   I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:

a)	disposizioni tecniche per consentire e sostenere il telelavoro;

b)	provvedimenti concreti per compiere progressi verso i principi fiducia zero;

c)	l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete;

d)	l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura;

e)	se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione;

f)	misure proattive per l'identificazione e la rimozione di software maligni e spyware;

g)	l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software;

h)	l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento;

i)	la regolare formazione del personale in materia di cibersicurezza;

j)	se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione;

k)

il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso: i) l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE; ii) gli obblighi contrattuali di segnalare gli incidenti, le vulnerabilità e le minacce informatiche, così come di avere predisposti adeguati meccanismi di risposta e controllo in caso di incidenti.

1.   Il CERT-UE contribuisce all'attuazione del presente regolamento emanando:

a)	inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti_dell'Unione sono esortati ad adottare entro un termine stabilito;

b)	proposte all'IICB per indirizzi destinati a tutti i soggetti_dell'Unione o a una parte di essi;

c)	proposte all'IICB per raccomandazioni destinate a singoli soggetti_dell'Unione.

Per quanto riguarda il primo comma, lettera a), il soggetto dell'Unione interessato, senza indebito ritardo dopo aver ricevuto l'invito a intervenire, informa il CERT-UE su come ha applicato le misure di sicurezza urgenti.

2.   Gli indirizzi e le raccomandazioni possono contenere:

a)

metodologie comuni e un modello per valutare la maturità della cibersicurezza dei soggetti_dell'Unione, comprese le scale o gli indicatori essenziali di prestazione corrispondenti, destinati a servire da riferimento a sostegno del miglioramento continuo della cibersicurezza in tutti i soggetti_dell'Unione e a facilitare l'assegnazione di priorità ai settori e alle misure di cibersicurezza tenendo conto della posizione di cibersicurezza dei soggetti;

b)	modalità o miglioramenti riguardanti la gestione dei rischi per la cibersicurezza e le misure di gestione dei rischi di cibersicurezza;

c)	modalità relative alle valutazioni di maturità della cibersicurezza e ai piani di cibersicurezza;

d)	se del caso, disposizioni sull'utilizzo di una tecnologia, architettura, pratiche open source e relative migliori pratiche comuni allo scopo di conseguire interoperabilità e norme comuni, compreso un approccio coordinato alla sicurezza della catena di approvvigionamento;

e)	se del caso, informazioni per agevolare l'uso di strumenti per appalti comuni volti all'acquisto presso fornitori terzi di pertinenti servizi e prodotti di cibersicurezza;

f)	accordi di condivisione delle informazioni a norma dell'articolo 20.

1.   Su base volontaria, i soggetti_dell'Unione possono notificare e fornire informazioni al CERT-UE sugli incidenti, le minacce informatiche, i quasi incidenti e le vulnerabilità che li interessano. Il CERT-UE garantisce la disponibilità di mezzi di comunicazione efficaci, con un livello elevato di tracciabilità, riservatezza e affidabilità, per agevolare la condivisione delle informazioni con i soggetti_dell'Unione. Nel trattare le notifiche, il CERT-UE può dare la priorità al trattamento delle notifiche obbligatorie rispetto alle notifiche volontarie. Fatto salvo l'articolo 12, la notifica volontaria non deve avere l'effetto di imporre al soggetto dell'Unione che la effettua alcun obbligo aggiuntivo cui non sarebbe stato sottoposto se non avesse trasmesso la notifica.

2.   Per svolgere la missione e i compiti conferitigli a norma dell'articolo 13, il CERT-UE può chiedere ai soggetti_dell'Unione di fornirgli informazioni tratte dai loro rispettivi inventari dei sistemi TIC, comprese le informazioni relative alle minacce informatiche, ai quasi incidenti, alle vulnerabilità, agli indicatori di compromissione, agli allarmi di cibersicurezza e alle raccomandazioni riguardanti la configurazione degli strumenti di cibersicurezza al fine di rilevare gli incidenti. Il soggetto dell'Unione cui è rivolta tale domanda trasmette senza indebito ritardo le informazioni richieste e ogni loro successivo aggiornamento.

3.   Il CERT-UE può scambiare con i soggetti_dell'Unione informazioni specifiche su un incidente che rivelino l'identità del soggetto dell'Unione interessato dall’ incidente, a condizione che quest’ultimo vi acconsenta. Ove rifiuti il consenso, il soggetto dell'Unione fornisce al CERT-UE i motivi a sostegno di tale decisione.

4.   I soggetti_dell'Unione condividono con il Parlamento europeo e il Consiglio, su richiesta, informazioni relative al completamento dei piani di cibersicurezza.

5.   L'IICB o il CERT-UE, a seconda dei casi, condividono con il Parlamento europeo e il Consiglio, su richiesta, indirizzi, raccomandazioni e inviti ad agire.

6.   Gli obblighi di condivisione stabiliti nel presente articolo non comprendono:

a)

le ICUE;

b)	le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita.

1.   Un incidente è considerato significativo se:

a)	ha causato o è in grado di causare una grave perturbazione operativa per il funzionamento del soggetto dell'Unione interessato o perdite finanziarie per lo stesso;

b)	ha interessato o è in grado di interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali.

2.   I soggetti_dell'Unione presentano al CERT-UE:

a)

senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti;

b)

senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica di incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;

c)	su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione;

d)

una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda: i) una descrizione dettagliata dell' incidente, comprensiva della sua gravità e del suo impatto; ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l' incidente; iii) le misure di attenuazione adottate e in corso; iv) se del caso, l'impatto transfrontaliero o su diversi soggetti dell' incidente;

e)	in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente.

3.   Un soggetto dell'Unione informa gli omologhi pertinenti degli Stati membri di cui all'articolo 17, paragrafo 1, nello Stato membro in cui ha sede del fatto che si è verificato un incidente significativo, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne è venuto a conoscenza.

4.   I soggetti_dell'Unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, l'impatto sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. Fatto salvo l'articolo 12, la sola notifica non espone il soggetto dell'Unione a una maggiore responsabilità.

5.   Se del caso, i soggetti_dell'Unione comunicano, senza indebito ritardo, agli utenti dei sistemi informativi e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia_informatica significativa e, se del caso, che devono adottare misure di attenuazione, qualsiasi misura o azione correttiva che possano adottare in risposta a tale incidente o minaccia. Se del caso, i soggetti_dell'Unione informano tali utenti della minaccia_informatica significativa stessa.

6.   Qualora un incidente significativo o una minaccia_informatica significativa interessi un sistema_informativo_e_di_rete o una componente dell'ambiente TIC di un soggetto dell'Unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'Unione, il CERT-UE emette una segnalazione di cibersicurezza.

7.   I soggetti_dell'Unione, su richiesta del CERT-UE, forniscono senza indebito ritardo al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può fornire ulteriori dettagli sui tipi di informazioni di cui ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.

8.   Il CERT-UE trasmette ogni tre mesi all'IICB, all'ENISA, all'EU INTCEN e alla rete CSIRT una relazione di sintesi che comprende dati anonimizzati e aggregati su incidenti significativi, incidenti, minacce informatiche, quasi incidenti e vulnerabilità a norma dell'articolo 20 e sugli incidenti significativi notificati conformemente al paragrafo 2 del presente articolo. La relazione di sintesi costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell’Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.

9.   Entro l'8 luglio 2024, l'IICB emana indirizzi o raccomandazioni che precisano ulteriormente le modalità, il formato e il contenuto della segnalazione a norma del presente articolo. Nell'elaborare tali indirizzi o raccomandazioni, l'IICB tiene conto degli atti di esecuzione adottati a norma dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555, che specificano il tipo di informazioni, il formato e la procedura di notifica. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti_dell'Unione.

10.   Gli obblighi di segnalazione stabiliti nel presente articolo non comprendono:

a)

le ICUE;

b)	le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita.

1.   Fungendo da piattaforma per lo scambio di informazioni in materia di cibersicurezza e coordinamento della risposta in caso di incidenti, il CERT-UE facilita la circolazione delle informazioni riguardo agli incidenti, alle minacce informatiche, alle vulnerabilità e ai quasi incidenti tra:

a)	i soggetti_dell'Unione;

b)	gli omologhi di cui agli articoli 17 e 18.

2.   Il CERT-UE, se del caso in stretta cooperazione con l'ENISA, facilita il coordinamento fra i soggetti_dell'Unione in materia di risposta agli incidenti, anche tramite:

a)	il contributo a una comunicazione esterna coerente;

b)	il sostegno reciproco, come la condivisione di informazioni pertinenti per i soggetti_dell'Unione o la fornitura di assistenza, se del caso direttamente in loco;

c)	l'uso ottimale delle risorse operative;

d)	il coordinamento con altri meccanismi di risposta alle crisi a livello dell'Unione.

3.   Il CERT-UE, in stretta cooperazione con l'ENISA, sostiene i soggetti_dell'Unione per quanto riguarda la consapevolezza situazionale degli incidenti, delle minacce informatiche, delle vulnerabilità e dei quasi incidenti, nonché la condivisione dei pertinenti sviluppi nel settore della cibersicurezza.

4.   Entro l'8 gennaio 2025, l'IICB, sulla base di una proposta del CERT-UE, adotta indirizzi o raccomandazioni sul coordinamento della risposta in caso di incidenti e sulla cooperazione in caso di incidenti significativi. In caso di sospetta natura penale di un incidente, il CERT-UE fornisce consulenza su come segnalare l' incidente alle autorità di contrasto senza indebito ritardo.

5.   A seguito di una richiesta specifica di uno Stato membro e con l'approvazione dei soggetti_dell'Unione interessati, il CERT-UE può rivolgersi a esperti dell'elenco di cui all'articolo 23, paragrafo 4, per contribuire alla risposta a un incidente grave che ha un impatto in tale Stato membro o a un incidente di cibersicurezza su vasta scala conformemente all'articolo 15, paragrafo 3, lettera g), della direttiva (UE) 2022/2555. Le norme specifiche sull'accesso e il ricorso agli esperti tecnici dei soggetti_dell'Unione sono approvate dall'IICB su proposta del CERT-UE.

1.   Al fine di sostenere a livello operativo la gestione coordinata degli incidenti gravi che interessano i soggetti_dell'Unione e per contribuire allo scambio periodico di informazioni pertinenti tra i soggetti_dell'Unione e con gli Stati membri, l'IICB istituisce, a norma dell'articolo 11, lettera q), un piano di gestione delle crisi informatiche basato sulle attività di cui all'articolo 22, paragrafo 2, in stretta cooperazione con il CERT-UE e l'ENISA. Il piano di gestione delle crisi informatiche comprende almeno gli elementi seguenti:

a)	disposizioni relative al coordinamento e al flusso di informazioni tra i soggetti_dell'Unione per la gestione_degli_incidenti gravi a livello operativo;

b)	procedure operative standard comuni;

c)	una tassonomia comune della gravità degli incidenti gravi e dei punti di innesco delle crisi;

d)	esercitazioni periodiche;

e)	canali di comunicazione sicuri da utilizzare.

2.   Fatto salvo il piano di gestione delle crisi informatiche istituito a norma del paragrafo 1 del presente articolo e fatto salvo l'articolo 16, paragrafo 2, primo comma, della direttiva (UE) 2022/2555, il rappresentante della Commissione nell'IICB è il punto di contatto per la condivisione delle informazioni pertinenti in relazione agli incidenti gravi con EU-CyCLONe.

3.   Il CERT-UE coordina, fra i soggetti_dell'Unione, la gestione_degli_incidenti gravi. Tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti_dell'Unione per gli incidenti gravi di cui all'articolo 9, paragrafo 2.

4.   I soggetti_dell'Unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.