keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 7 Valutazioni di maturità della cibersicurezza
- 1 Art. 23 Gestione degli incidenti gravi
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 17
- n / 14
- europeo 13
- cibersicurezza 11
- consiglio 11
- pag 9
- parlamento 9
- incidenti 8
- gravi 8
- articolo 8
- europea 8
- gu l 7
- soggetti_dell 7
- ue / 6
- regolamento 6
- crisi 6
- gestione 6
- regolamento 5
- maturità 5
- abroga 4
- direttiva 4
- comitato 4
- informatiche 4
- dicembre 3
- informazioni 3
- livello 3
- piano 3
- norma 3
- cert-ue 3
- iicb 3
- decisione 3
- elementi 3
- tecniche 3
- presente 3
- valutazioni 3
- pertinenti 2
- disponibili 2
- membri 2
- valutazione 2
- istituisce 2
- funzionari 2
- euratom 2
- banca 2
- competenze 2
- stati 2
- inventario 2
- gu c 2
- relazione 2
- comunicazione 2
- fatto 2
Articolo 7
Valutazioni di maturità della cibersicurezza
1. Entro l'8 luglio 2025 e successivamente almeno ogni due anni, ciascun soggetto dell'Unione svolge una valutazione di maturità della cibersicurezza che comprende tutti gli elementi del proprio ambiente TIC.
2. Le valutazioni di maturità della cibersicurezza sono svolte, se del caso, con l'assistenza di terzi specializzati.
3. I soggetti_dell'Unione con strutture simili possono cooperare nello svolgimento delle valutazioni di maturità della cibersicurezza per i rispettivi soggetti.
4. Sulla base di una richiesta del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e con il consenso esplicito del soggetto dell'Unione interessato, i risultati di una valutazione di maturità della cibersicurezza possono essere discussi in seno a tale comitato o all'interno del gruppo informale di responsabili locali per la cibersicurezza al fine di trarre insegnamenti dalle esperienze e condividere le migliori pratiche.
Articolo 23
Gestione degli incidenti gravi
1. Al fine di sostenere a livello operativo la gestione coordinata degli incidenti gravi che interessano i soggetti_dell'Unione e per contribuire allo scambio periodico di informazioni pertinenti tra i soggetti_dell'Unione e con gli Stati membri, l'IICB istituisce, a norma dell'articolo 11, lettera q), un piano di gestione delle crisi informatiche basato sulle attività di cui all'articolo 22, paragrafo 2, in stretta cooperazione con il CERT-UE e l'ENISA. Il piano di gestione delle crisi informatiche comprende almeno gli elementi seguenti:
| a) | disposizioni relative al coordinamento e al flusso di informazioni tra i soggetti_dell'Unione per la gestione_degli_incidenti gravi a livello operativo; |
| b) | procedure operative standard comuni; |
| c) | una tassonomia comune della gravità degli incidenti gravi e dei punti di innesco delle crisi; |
| d) | esercitazioni periodiche; |
| e) | canali di comunicazione sicuri da utilizzare. |
2. Fatto salvo il piano di gestione delle crisi informatiche istituito a norma del paragrafo 1 del presente articolo e fatto salvo l'articolo 16, paragrafo 2, primo comma, della direttiva (UE) 2022/2555, il rappresentante della Commissione nell'IICB è il punto di contatto per la condivisione delle informazioni pertinenti in relazione agli incidenti gravi con EU-CyCLONe.
3. Il CERT-UE coordina, fra i soggetti_dell'Unione, la gestione_degli_incidenti gravi. Tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti_dell'Unione per gli incidenti gravi di cui all'articolo 9, paragrafo 2.
4. I soggetti_dell'Unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.
CAPO VI
DISPOSIZIONI FINALI
Articolo 26
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, il 13 dicembre 2023
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
P. NAVARRO RÍOS
(1) Posizione del Parlamento europeo del 21 novembre 2023 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio dell'8 dicembre 2023.
(2) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).
(3) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019, pag. 15).
(4) Accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell'Unione europea, la Commissione europea, la Corte di giustizia dell'Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l'azione esterna, il Comitato economico e sociale europeo, il Comitato europeo delle regioni e la Banca europea per gli investimenti sull'organizzazione e il funzionamento della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'Unione (CERT-UE) (GU C 12 del 13.1.2018, pag. 1).
(5) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).
(6) Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).
(7) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
(8) GU C 258 del 5.7.2022, pag. 10.
(9) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).
(10) Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0707 (electronic edition)