keyboard_tab Cyber Resilience Act 2023/2841 IT

1.   Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.

2.   Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:

a)	la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo;

b)	le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi;

c)	gli obiettivi strategici relativi all'uso dei servizi di cloud computing;

d)	un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile;

e)	l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza;

f)	l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità;

g)	la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;

h)	la sicurezza delle risorse umane e il controllo degli accessi;

i)	la sicurezza delle operazioni;

j)	la sicurezza delle comunicazioni;

k)	l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità;

l)	se possibile, le politiche in materia di trasparenza del codice sorgente;

m)	la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi;

n)	la gestione degli incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione;

o)	la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e

p)	la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza.

Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.

3.   I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:

a)	disposizioni tecniche per consentire e sostenere il telelavoro;

b)	provvedimenti concreti per compiere progressi verso i principi fiducia zero;

c)	l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete;

d)	l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura;

e)	se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione;

f)	misure proattive per l'identificazione e la rimozione di software maligni e spyware;

g)	l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software;

h)	l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento;

i)	la regolare formazione del personale in materia di cibersicurezza;

j)	se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione;

k)

il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso: i) l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE; ii) gli obblighi contrattuali di segnalare gli incidenti, le vulnerabilità e le minacce informatiche, così come di avere predisposti adeguati meccanismi di risposta e controllo in caso di incidenti.

1.   La missione del CERT-UE consiste nel contribuire alla sicurezza dell'ambiente TIC non riservato dei soggetti_dell'Unione fornendo loro consulenza in materia di cibersicurezza, aiutandoli a prevenire, rilevare, affrontare e attenuare gli incidenti e a rispondervi e riprendersi dagli stessi, e fungendo per tali soggetti da piattaforma per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta in caso di incidenti.

2.   Il CERT-UE raccoglie, gestisce, analizza e condivide informazioni con i soggetti_dell'Unione sulle minacce informatiche, le vulnerabilità e gli incidenti riguardanti le infrastrutture TIC non riservate. Coordina le risposte agli incidenti a livello interistituzionale e a livello di soggetti_dell'Unione, anche assicurando o coordinando la prestazione di assistenza operativa specializzata.

3.   Il CERT-UE svolge i seguenti compiti per assistere i soggetti_dell'Unione:

a)	li assiste nell'attuazione del presente regolamento e contribuisce al coordinamento della sua attuazione tramite le misure elencate all'articolo 14, paragrafo 1, o tramite relazioni ad hoc richieste dall'IICB;

b)	offre servizi CSIRT standard per i soggetti_dell'Unione attraverso un pacchetto di servizi di cibersicurezza descritti nel proprio catalogo dei servizi («servizi di base»);

c)	mantiene una rete di omologhi e partner a sostegno dei propri servizi, come indicato agli articoli 17 e 18;

d)	richiama l'attenzione dell'IICB su ogni problema relativo all'attuazione del presente regolamento e all'attuazione degli indirizzi, delle raccomandazioni e degli inviti a intervenire;

e)	sulla base delle informazioni di cui al paragrafo 2, contribuisce alla consapevolezza situazionale informatica dell'Unione in stretta cooperazione con l'ENISA;

f)	coordina la gestione degli incidenti gravi;

g)	funge, per i soggetti_dell'Unione, da equivalente del coordinatore designato ai fini della divulgazione coordinata delle vulnerabilità di cui all'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555;

h)	fornisce, su richiesta di un soggetto dell'Unione, la scansione proattiva e non invasiva dei sistemi informativi e di rete accessibili al pubblico di tale soggetto dell'Unione.

Le informazioni di cui al primo comma, lettera e), sono condivise con l'IICB, la rete CSIRT e il Centro UE di situazione e di intelligence (INTCEN), ove applicabile e appropriato, e sono soggette ad adeguate condizioni di riservatezza.

4.   Il CERT-UE può cooperare, conformemente all'articolo 17 o 18, a seconda dei casi, con le pertinenti comunità di cibersicurezza all'interno dell'Unione e dei suoi Stati membri, anche nei settori seguenti:

a)	preparazione, coordinamento in caso di incidente, scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati ai soggetti_dell'Unione;

b)	cooperazione operativa per quanto riguarda la rete CSIRT, anche per l'assistenza reciproca;

c)	intelligence relativa alle minacce informatiche, compresa la consapevolezza situazionale;

d)	ogni tematica che richieda le competenze tecniche in materia di cibersicurezza del CERT-UE.

5.   Nell'ambito delle sue competenze il CERT-UE avvia una cooperazione strutturata con l'ENISA in materia di sviluppo di capacità, cooperazione operativa e analisi strategiche a lungo termine delle minacce informatiche ai sensi del regolamento (UE) 2019/881. Il CERT-UE può cooperare e scambiare informazioni con il Centro per la lotta alla criminalità informatica di Europol.

6.   Il CERT-UE può prestare i seguenti servizi non descritti nel suo catalogo dei servizi («servizi addebitabili»):

a)

servizi a sostegno della cibersicurezza dell'ambiente TIC dei soggetti_dell'Unione, diversi da quelli di cui al paragrafo 3, forniti in base ad accordi sul livello dei servizi e compatibilmente con le risorse disponibili, in particolare il controllo della rete ad ampio spettro, compreso il controllo di prima linea 24 ore al giorno, 7 giorni su 7, per le minacce informatiche di gravità elevata;

b)	servizi a sostegno di operazioni o progetti di cibersicurezza dei soggetti_dell'Unione, diversi da quelli volti a proteggere il loro ambiente TIC, forniti in base ad accordi scritti e previa approvazione dell'IICB;

c)	su richiesta, una scansione proattiva dei sistemi informativi e di rete del soggetto dell'Unione interessato per individuare le vulnerabilità con un potenziale impatto significativo;

d)

servizi a sostegno della sicurezza dell'ambiente TIC di organizzazioni diverse dai soggetti_dell'Unione e che cooperano strettamente con tali soggetti, ad esempio perché investite di compiti o responsabilità ai sensi del diritto dell'Unione, forniti in base ad accordi scritti e previa approvazione dell'IICB.

Per quanto riguarda il primo comma, lettera d), in via eccezionale il CERT-UE può stipulare accordi sul livello dei servizi con soggetti diversi da quelli dell'Unione, previa approvazione dell'IICB.

7.   Il CERT-UE organizza esercitazioni di cibersicurezza e può parteciparvi o raccomandare la partecipazione alle esercitazioni esistenti, se del caso in stretta cooperazione con l'ENISA, per verificare il livello di cibersicurezza dei soggetti_dell'Unione.

8.   Il CERT-UE può fornire assistenza ai soggetti_dell'Unione in caso di incidenti in reti e sistemi informativi che trattano ICUE se i soggetti_dell'Unione interessati lo richiedono esplicitamente in conformità delle rispettive procedure. La fornitura di assistenza da parte del CERT-UE ai sensi del presente paragrafo non pregiudica le norme applicabili in materia di protezione delle informazioni classificate.

9.   Il CERT-UE informa i soggetti_dell'Unione delle sue procedure e dei suoi processi di gestione degli incidenti.

10.   Il CERT-UE fornisce, con un elevato livello di riservatezza e affidabilità, attraverso meccanismi di cooperazione e linee gerarchiche appropriati, informazioni pertinenti e anonimizzate sugli incidenti gravi e sul modo in cui sono stati gestiti. Tali informazioni sono inserite nella relazione di cui all’articolo 10, paragrafo 14.

11.   Il CERT-UE, in collaborazione con il GEPD, sostiene i soggetti_dell'Unione interessati nei casi di incidenti che comportano violazioni di dati personali, senza pregiudicare la competenza e i compiti del GEPD in quanto autorità di controllo ai sensi del regolamento (UE) 2018/1725.

12.   Su esplicita richiesta dei dipartimenti politici dei soggetti_dell'Unione, il CERT-UE può fornire consulenza tecnica o contributi tecnici su importanti questioni strategiche.

1.   Al fine di sostenere a livello operativo la gestione coordinata degli incidenti gravi che interessano i soggetti_dell'Unione e per contribuire allo scambio periodico di informazioni pertinenti tra i soggetti_dell'Unione e con gli Stati membri, l'IICB istituisce, a norma dell'articolo 11, lettera q), un piano di gestione delle crisi informatiche basato sulle attività di cui all'articolo 22, paragrafo 2, in stretta cooperazione con il CERT-UE e l'ENISA. Il piano di gestione delle crisi informatiche comprende almeno gli elementi seguenti:

a)	disposizioni relative al coordinamento e al flusso di informazioni tra i soggetti_dell'Unione per la gestione degli incidenti gravi a livello operativo;

b)	procedure operative standard comuni;

c)	una tassonomia comune della gravità degli incidenti gravi e dei punti di innesco delle crisi;

d)	esercitazioni periodiche;

e)	canali di comunicazione sicuri da utilizzare.

2.   Fatto salvo il piano di gestione delle crisi informatiche istituito a norma del paragrafo 1 del presente articolo e fatto salvo l'articolo 16, paragrafo 2, primo comma, della direttiva (UE) 2022/2555, il rappresentante della Commissione nell'IICB è il punto di contatto per la condivisione delle informazioni pertinenti in relazione agli incidenti gravi con EU-CyCLONe.

3.   Il CERT-UE coordina, fra i soggetti_dell'Unione, la gestione degli incidenti gravi. Tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti_dell'Unione per gli incidenti gravi di cui all'articolo 9, paragrafo 2.

4.   I soggetti_dell'Unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.