keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 11 Compiti dell'IICB
- 1 Art. 13 Missione e compiti del CERT-UE
- 1 Art. 17 Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
- 1 Art. 23 Gestione degli incidenti gravi
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 61
- cert-ue 47
- soggetti_dell 35
- cibersicurezza 24
- incidenti 23
- articolo 22
- informazioni 21
- livello 16
- n / 14
- servizi 14
- soggetto 13
- europeo 13
- ue / 13
- regolamento 13
- informatiche 12
- iicb 12
- gravi 12
- gestione 12
- consiglio 11
- il 11
- direttiva 10
- crisi 10
- direttore 10
- base 10
- parlamento 9
- pag 9
- cooperazione 9
- presente 9
- pertinenti 8
- europea 8
- accordi 8
- interessato 8
- caso 8
- approva 8
- norma 8
- rete 7
- stati 7
- attuazione 7
- gu l 7
- incidente 7
- proposta 7
- enisa 6
- materia 6
- lettera 6
- compiti 6
- minacce 6
- membri 6
- regolamento 5
- csirt 5
- primo 5
Articolo 11
Compiti dell'IICB
Nell'esercizio delle sue responsabilità l'IICB, in particolare:
| a) | fornisce orientamenti al direttore del CERT-UE; |
| b) | controlla e vigila efficacemente sull'attuazione del presente regolamento e sostiene i soggetti_dell'Unione nel rafforzamento della loro cibersicurezza, anche, se del caso, richiedendo relazioni ad hoc ai soggetti_dell'Unione e al CERT-UE; |
| c) | previa discussione strategica, adotta una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti_dell'Unione, valuta tale strategia periodicamente e comunque ogni cinque anni e, ove necessario, la modifica; |
| d) | stabilisce la metodologia e gli aspetti organizzativi per lo svolgimento di riesami inter pares volontari da parte di soggetti_dell'Unione, al fine di trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di cibersicurezza e migliorare le capacità di cibersicurezza dei soggetti_dell'Unione, garantendo che tali riesami inter pares siano condotti da esperti di cibersicurezza designati da un soggetto dell'Unione diverso da quello sottoposto al riesame e che la metodologia si basi sull'articolo 19 della direttiva (UE) 2022/2555 e sia, se del caso, adattata ai soggetti_dell'Unione; |
| e) | approva, sulla base di una proposta del direttore del CERT-UE, il programma di lavoro annuale del CERT-UE e ne controlla l'attuazione; |
| f) | approva, sulla base di una proposta del direttore del CERT-UE, il catalogo dei servizi offerti dal CERT-UE e ogni suo aggiornamento; |
| g) | approva, sulla base di una proposta del direttore del CERT-UE, la pianificazione finanziaria annuale delle entrate e delle spese, anche in materia di personale, per le attività del CERT-UE; |
| h) | approva, sulla base di una proposta del direttore del CERT-UE, le modalità degli accordi sul livello dei servizi; |
| i) | esamina e approva la relazione annuale elaborata dal direttore del CERT-UE riguardante le attività del CERT-UE, nonché la gestione dei fondi da parte di quest'ultimo; |
| j) | approva e controlla gli indicatori essenziali di prestazione per il CERT-UE stabiliti sulla base di una proposta del direttore del CERT-UE; |
| k) | approva gli accordi di cooperazione, gli accordi sul livello dei servizi o i contratti tra il CERT-UE e altri soggetti ai sensi dell'articolo 18; |
| l) | adotta indirizzi e raccomandazioni sulla base di una proposta del CERT-UE conformemente all'articolo 14 e dà istruzione al CERT-UE di emanare, ritirare o modificare una proposta relativa a indirizzi o raccomandazioni, o un invito a intervenire; |
| m) | istituisce gruppi di consulenza tecnica con compiti specifici per assistere l'IICB nel suo operato, approva il loro mandato e ne designa i rispettivi presidenti; |
| n) | riceve e valuta i documenti e le relazioni presentati dai soggetti_dell'Unione a norma del presente regolamento, come le valutazioni di maturità della cibersicurezza; |
| o) | facilita l'istituzione di un gruppo informale di responsabili locali della cibersicurezza dei soggetti_dell'Unione, con il sostegno dell'ENISA, allo scopo di scambiare migliori pratiche e informazioni in relazione all'attuazione del presente regolamento; |
| p) | tenendo conto delle informazioni sui rischi di cibersicurezza individuati e degli insegnamenti tratti dal CERT-UE, controlla l'adeguatezza degli accordi di interconnettività tra gli ambienti TIC dei soggetti_dell'Unione e fornisce consulenza su eventuali miglioramenti; |
| q) | istituisce un piano di gestione delle crisi informatiche al fine di sostenere, a livello operativo, la gestione coordinata degli incidenti gravi che colpiscono i soggetti_dell'Unione e al fine di contribuire allo scambio regolare di informazioni pertinenti, in particolare per quanto riguarda l'impatto e l'entità degli incidenti gravi e i possibili modi per attenuarne gli effetti; |
| r) | coordina l'adozione dei piani individuali di gestione delle crisi informatiche dei soggetti_dell'Unione di cui all'articolo 9, paragrafo 2; |
| s) | adotta raccomandazioni relative alla sicurezza delle catene di approvvigionamento di cui all'articolo 8, paragrafo 2, primo comma, lettera m), tenendo conto dei risultati delle valutazioni coordinate a livello dell'Unione dei rischi di sicurezza delle catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti_dell'Unione nell'adozione di misure di gestione dei rischi di cibersicurezza efficaci e proporzionate. |
Articolo 13
Missione e compiti del CERT-UE
1. La missione del CERT-UE consiste nel contribuire alla sicurezza dell'ambiente TIC non riservato dei soggetti_dell'Unione fornendo loro consulenza in materia di cibersicurezza, aiutandoli a prevenire, rilevare, affrontare e attenuare gli incidenti e a rispondervi e riprendersi dagli stessi, e fungendo per tali soggetti da piattaforma per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta in caso di incidenti.
2. Il CERT-UE raccoglie, gestisce, analizza e condivide informazioni con i soggetti_dell'Unione sulle minacce informatiche, le vulnerabilità e gli incidenti riguardanti le infrastrutture TIC non riservate. Coordina le risposte agli incidenti a livello interistituzionale e a livello di soggetti_dell'Unione, anche assicurando o coordinando la prestazione di assistenza operativa specializzata.
3. Il CERT-UE svolge i seguenti compiti per assistere i soggetti_dell'Unione:
| a) | li assiste nell'attuazione del presente regolamento e contribuisce al coordinamento della sua attuazione tramite le misure elencate all'articolo 14, paragrafo 1, o tramite relazioni ad hoc richieste dall'IICB; |
| b) | offre servizi CSIRT standard per i soggetti_dell'Unione attraverso un pacchetto di servizi di cibersicurezza descritti nel proprio catalogo dei servizi («servizi di base»); |
| c) | mantiene una rete di omologhi e partner a sostegno dei propri servizi, come indicato agli articoli 17 e 18; |
| d) | richiama l'attenzione dell'IICB su ogni problema relativo all'attuazione del presente regolamento e all'attuazione degli indirizzi, delle raccomandazioni e degli inviti a intervenire; |
| e) | sulla base delle informazioni di cui al paragrafo 2, contribuisce alla consapevolezza situazionale informatica dell'Unione in stretta cooperazione con l'ENISA; |
| f) | coordina la gestione_degli_incidenti gravi; |
| g) | funge, per i soggetti_dell'Unione, da equivalente del coordinatore designato ai fini della divulgazione coordinata delle vulnerabilità di cui all'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555; |
| h) | fornisce, su richiesta di un soggetto dell'Unione, la scansione proattiva e non invasiva dei sistemi informativi e di rete accessibili al pubblico di tale soggetto dell'Unione. |
Le informazioni di cui al primo comma, lettera e), sono condivise con l'IICB, la rete CSIRT e il Centro UE di situazione e di intelligence (INTCEN), ove applicabile e appropriato, e sono soggette ad adeguate condizioni di riservatezza.
4. Il CERT-UE può cooperare, conformemente all'articolo 17 o 18, a seconda dei casi, con le pertinenti comunità di cibersicurezza all'interno dell'Unione e dei suoi Stati membri, anche nei settori seguenti:
| a) | preparazione, coordinamento in caso di incidente, scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati ai soggetti_dell'Unione; |
| b) | cooperazione operativa per quanto riguarda la rete CSIRT, anche per l'assistenza reciproca; |
| c) | intelligence relativa alle minacce informatiche, compresa la consapevolezza situazionale; |
| d) | ogni tematica che richieda le competenze tecniche in materia di cibersicurezza del CERT-UE. |
5. Nell'ambito delle sue competenze il CERT-UE avvia una cooperazione strutturata con l'ENISA in materia di sviluppo di capacità, cooperazione operativa e analisi strategiche a lungo termine delle minacce informatiche ai sensi del regolamento (UE) 2019/881. Il CERT-UE può cooperare e scambiare informazioni con il Centro per la lotta alla criminalità informatica di Europol.
6. Il CERT-UE può prestare i seguenti servizi non descritti nel suo catalogo dei servizi («servizi addebitabili»):
| a) | servizi a sostegno della cibersicurezza dell'ambiente TIC dei soggetti_dell'Unione, diversi da quelli di cui al paragrafo 3, forniti in base ad accordi sul livello dei servizi e compatibilmente con le risorse disponibili, in particolare il controllo della rete ad ampio spettro, compreso il controllo di prima linea 24 ore al giorno, 7 giorni su 7, per le minacce informatiche di gravità elevata; |
| b) | servizi a sostegno di operazioni o progetti di cibersicurezza dei soggetti_dell'Unione, diversi da quelli volti a proteggere il loro ambiente TIC, forniti in base ad accordi scritti e previa approvazione dell'IICB; |
| c) | su richiesta, una scansione proattiva dei sistemi informativi e di rete del soggetto dell'Unione interessato per individuare le vulnerabilità con un potenziale impatto significativo; |
| d) | servizi a sostegno della sicurezza dell'ambiente TIC di organizzazioni diverse dai soggetti_dell'Unione e che cooperano strettamente con tali soggetti, ad esempio perché investite di compiti o responsabilità ai sensi del diritto dell'Unione, forniti in base ad accordi scritti e previa approvazione dell'IICB. |
Per quanto riguarda il primo comma, lettera d), in via eccezionale il CERT-UE può stipulare accordi sul livello dei servizi con soggetti diversi da quelli dell'Unione, previa approvazione dell'IICB.
7. Il CERT-UE organizza esercitazioni di cibersicurezza e può parteciparvi o raccomandare la partecipazione alle esercitazioni esistenti, se del caso in stretta cooperazione con l'ENISA, per verificare il livello di cibersicurezza dei soggetti_dell'Unione.
8. Il CERT-UE può fornire assistenza ai soggetti_dell'Unione in caso di incidenti in reti e sistemi informativi che trattano ICUE se i soggetti_dell'Unione interessati lo richiedono esplicitamente in conformità delle rispettive procedure. La fornitura di assistenza da parte del CERT-UE ai sensi del presente paragrafo non pregiudica le norme applicabili in materia di protezione delle informazioni classificate.
9. Il CERT-UE informa i soggetti_dell'Unione delle sue procedure e dei suoi processi di gestione_degli_incidenti.
10. Il CERT-UE fornisce, con un elevato livello di riservatezza e affidabilità, attraverso meccanismi di cooperazione e linee gerarchiche appropriati, informazioni pertinenti e anonimizzate sugli incidenti gravi e sul modo in cui sono stati gestiti. Tali informazioni sono inserite nella relazione di cui all’articolo 10, paragrafo 14.
11. Il CERT-UE, in collaborazione con il GEPD, sostiene i soggetti_dell'Unione interessati nei casi di incidenti che comportano violazioni di dati personali, senza pregiudicare la competenza e i compiti del GEPD in quanto autorità di controllo ai sensi del regolamento (UE) 2018/1725.
12. Su esplicita richiesta dei dipartimenti politici dei soggetti_dell'Unione, il CERT-UE può fornire consulenza tecnica o contributi tecnici su importanti questioni strategiche.
Articolo 17
Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
1. Il CERT-UE coopera e scambia informazioni con omologhi degli Stati membri senza indebito ritardo, in particolare con gli CSIRT designati o istituiti a norma dell'articolo 10 della direttiva (UE) 2022/2555 o, se del caso, con le autorità competenti e i punti di contatto unici designati o istituiti a norma dell'articolo 8 di tale direttiva, riguardo a incidenti, minacce informatiche, vulnerabilità, quasi incidenti, possibili contromisure e migliori pratiche e su tutte le questioni pertinenti per migliorare la protezione degli ambienti TIC dei soggetti_dell'Unione, anche mediante la rete CSIRT istituita a norma dell'articolo 15 della direttiva (UE) 2022/2555. Il CERT-UE sostiene la Commissione in seno all'EU-CyCLONe istituito a norma dell'articolo 16 della direttiva (UE) 2022/2555 in merito alla gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.
2. Quando viene a conoscenza di un incidente significativo che si verifica nel territorio di uno Stato membro, il CERT-UE informa senza indugio gli omologhi pertinenti di quello Stato membro, in conformità del paragrafo 1.
3. A condizione che i dati personali siano protetti conformemente al diritto dell'Unione applicabile in materia di protezione dei dati, il CERT-UE scambia senza indebito ritardo informazioni pertinenti specifiche su un incidente con gli omologhi degli Stati membri per facilitare il rilevamento di minacce informatiche o incidenti analoghi o per contribuire all'analisi di un incidente, senza l'autorizzazione del soggetto dell'Unione interessato. Il CERT-UE scambia informazioni specifiche su un incidente che rivelino l’identità del bersaglio dell’ incidente di cibersicurezza solo in uno dei casi seguenti:
| a) | il soggetto dell'Unione interessato vi acconsente; |
| b) | il soggetto dell'Unione interessato non vi acconsente come stabilito alla lettera a), ma la diffusione dell'identità del soggetto dell'Unione interessato aumenterebbe la probabilità di evitare o attenuare incidenti altrove; |
| c) | il soggetto dell'Unione interessato ha già reso pubblico il proprio coinvolgimento. |
Le decisioni di scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio a norma del primo comma, lettera b), sono avallate dal direttore del CERT-UE. Prima di emettere tale decisione, il CERT-UE contatta per iscritto il soggetto dell'Unione interessato, spiegando chiaramente in che modo la divulgazione della sua identità contribuirebbe a evitare o attenuare incidenti altrove. Il direttore del CERT-UE fornisce la spiegazione e chiede esplicitamente al soggetto dell'Unione di dichiarare se acconsente entro un termine stabilito. Il direttore del CERT-UE informa inoltre il soggetto dell'Unione che, alla luce della spiegazione fornita, si riserva il diritto di divulgare le informazioni anche in assenza di consenso. Il soggetto dell'Unione interessato è informato prima che le informazioni siano divulgate.
Articolo 23
Gestione degli incidenti gravi
1. Al fine di sostenere a livello operativo la gestione coordinata degli incidenti gravi che interessano i soggetti_dell'Unione e per contribuire allo scambio periodico di informazioni pertinenti tra i soggetti_dell'Unione e con gli Stati membri, l'IICB istituisce, a norma dell'articolo 11, lettera q), un piano di gestione delle crisi informatiche basato sulle attività di cui all'articolo 22, paragrafo 2, in stretta cooperazione con il CERT-UE e l'ENISA. Il piano di gestione delle crisi informatiche comprende almeno gli elementi seguenti:
| a) | disposizioni relative al coordinamento e al flusso di informazioni tra i soggetti_dell'Unione per la gestione_degli_incidenti gravi a livello operativo; |
| b) | procedure operative standard comuni; |
| c) | una tassonomia comune della gravità degli incidenti gravi e dei punti di innesco delle crisi; |
| d) | esercitazioni periodiche; |
| e) | canali di comunicazione sicuri da utilizzare. |
2. Fatto salvo il piano di gestione delle crisi informatiche istituito a norma del paragrafo 1 del presente articolo e fatto salvo l'articolo 16, paragrafo 2, primo comma, della direttiva (UE) 2022/2555, il rappresentante della Commissione nell'IICB è il punto di contatto per la condivisione delle informazioni pertinenti in relazione agli incidenti gravi con EU-CyCLONe.
3. Il CERT-UE coordina, fra i soggetti_dell'Unione, la gestione_degli_incidenti gravi. Tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti_dell'Unione per gli incidenti gravi di cui all'articolo 9, paragrafo 2.
4. I soggetti_dell'Unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.
CAPO VI
DISPOSIZIONI FINALI
Articolo 26
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, il 13 dicembre 2023
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
P. NAVARRO RÍOS
(1) Posizione del Parlamento europeo del 21 novembre 2023 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio dell'8 dicembre 2023.
(2) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).
(3) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019, pag. 15).
(4) Accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell'Unione europea, la Commissione europea, la Corte di giustizia dell'Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l'azione esterna, il Comitato economico e sociale europeo, il Comitato europeo delle regioni e la Banca europea per gli investimenti sull'organizzazione e il funzionamento della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'Unione (CERT-UE) (GU C 12 del 13.1.2018, pag. 1).
(5) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).
(6) Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).
(7) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
(8) GU C 258 del 5.7.2022, pag. 10.
(9) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).
(10) Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0707 (electronic edition)