keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 3 Definizioni
- 1 Art. 8 Misure di gestione dei rischi per la cibersicurezza
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- articolo 28
- cibersicurezza 25
- ue / 24
- unione 23
- punto 22
- direttiva 20
- incidente 12
- gestione 12
- definita 12
- sicurezza 12
- definito 12
- soggetto 11
- sistemi 11
- rischi 11
- soggetti_dell 8
- misure 8
- livello 8
- informativi 7
- vulnerabilità 7
- regolamento 7
- caso 6
- europea 6
- trattato 6
- minaccia_informatica 6
- norme 6
- rete 5
- servizi 5
- incidenti 5
- materia 5
- definizioni 4
- organo 4
- vasta 4
- politiche 4
- presente 4
- cibersicurezza»: 4
- funzionamento 4
- almeno 4
- alto 4
- quasi_ 4
- cert-ue 4
- impatto 4
- sviluppo 4
- incidente»: 4
- comprese 3
- fini 3
- attuazione 3
- responsabilità 3
- software 3
- conto 3
- formazione 3
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) | « soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi; |
2) | « sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555; |
3) | « sicurezza dei sistemi informativi e di rete»: la sicurezza dei sistemi informativi e di rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555; |
4) | « cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; |
5) | « livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza; |
6) | « quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555; |
7) | « incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555; |
8) | « incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione; |
9) | « incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555; |
10) | « gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555; |
11) | « minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881; |
12) | « minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555; |
13) | « vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555; |
14) | «rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555; |
15) | « servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555. |
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) | « soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi; |
2) | « sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555; |
3) | « sicurezza dei sistemi informativi e di rete»: la sicurezza dei sistemi informativi e di rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555; |
4) | « cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; |
5) | « livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza; |
6) | « quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555; |
7) | « incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555; |
8) | « incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione; |
9) | « incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555; |
10) | « gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555; |
11) | « minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881; |
12) | « minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555; |
13) | « vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555; |
14) | «rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555; |
15) | « servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555. |
Articolo 8
Misure di gestione dei rischi per la cibersicurezza
1. Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza dei sistemi informativi e di rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.
2. Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:
a) | la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo; |
b) | le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi; |
c) | gli obiettivi strategici relativi all'uso dei servizi di cloud computing; |
d) | un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile; |
e) | l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza; |
f) | l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità; |
g) | la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC; |
h) | la sicurezza delle risorse umane e il controllo degli accessi; |
i) | la sicurezza delle operazioni; |
j) | la sicurezza delle comunicazioni; |
k) | l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità; |
l) | se possibile, le politiche in materia di trasparenza del codice sorgente; |
m) | la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi; |
n) | la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione; |
o) | la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e |
p) | la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza. |
Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.
3. I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:
a) | disposizioni tecniche per consentire e sostenere il telelavoro; |
b) | provvedimenti concreti per compiere progressi verso i principi fiducia zero; |
c) | l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete; |
d) | l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura; |
e) | se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione; |
f) | misure proattive per l'identificazione e la rimozione di software maligni e spyware; |
g) | l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software; |
h) | l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento; |
i) | la regolare formazione del personale in materia di cibersicurezza; |
j) | se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione; |
k) | il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:
|
whereas