keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 3 Definizioni
- 1 Art. 5 Attuazione delle misure
- 5 Art. 10 Comitato interistituzionale per la cibersicurezza
- 1 Art. 16 Questioni finanziarie e relative al personale
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 32
- articolo 27
- iicb 26
- europeo 21
- ue / 19
- cibersicurezza 19
- regolamento 18
- europea 18
- cert-ue 17
- direttiva 15
- consiglio 14
- n / 14
- comitato 12
- punto 11
- soggetti_dell 11
- parlamento 11
- presidente 10
- norma 9
- presente 9
- pag 9
- membri 8
- l 7
- gu l 7
- incidente 6
- definito 6
- interno 6
- servizi 6
- definita 6
- misure 5
- livello 5
- regolamento 5
- i 5
- attuazione 5
- rappresentanti 5
- abroga 4
- soggetto 4
- organi 4
- membro 4
- voto 4
- finanziario 4
- decisione 4
- relazione 4
- interistituzionale 4
- bilancio 4
- euan 4
- corte 4
- dati 4
- banca 4
- gestione 4
- quadro 3
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi; |
| 2) | « sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sicurezza_dei_sistemi_informativi_e_di_rete»: la sicurezza_dei_sistemi_informativi_e_di_rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 4) | « cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; |
| 5) | « livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza; |
| 6) | « quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555; |
| 7) | « incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555; |
| 8) | « incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione; |
| 9) | « incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555; |
| 10) | « gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555; |
| 11) | « minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 12) | « minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555; |
| 13) | « vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555; |
| 14) | «rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555; |
| 15) | « servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555. |
Articolo 5
Attuazione delle misure
1. Entro l'8 settembre 2024, il comitato interistituzionale per la cibersicurezza istituito a norma dell’articolo 10, previa consultazione dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e dopo aver ricevuto orientamenti dal CERT-UE, emana indirizzi destinati ai soggetti dell’Unione per effettuare un riesame iniziale della cibersicurezza e istituire un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza a norma dell'articolo 6, svolgere valutazioni di maturità della cibersicurezza a norma dell'articolo 7, adottare misure di gestione dei rischi per la cibersicurezza a norma dell'articolo 8 e adottare il piano di cibersicurezza a norma dell'articolo 9.
2. Nell'attuazione degli articoli da 6 a 9, i soggetti_dell'Unione tengono conto degli indirizzi di cui al paragrafo 1 del presente articolo, nonché degli indirizzi e delle raccomandazioni pertinenti adottati a norma degli articoli 11 e 14.
Articolo 10
Comitato interistituzionale per la cibersicurezza
1. È istituito un comitato interistituzionale per la cibersicurezza (IICB).
2. L'IICB ha il compito di:
| a) | controllare e sostenere l'attuazione del presente regolamento da parte dei soggetti_dell'Unione; |
| b) | vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE e imprimere a tale centro una direzione strategica. |
3. L'IICB è composto da:
| a) | un rappresentante designato da ciascuno dei seguenti soggetti:
|
| b) | tre rappresentanti designati dalla rete delle agenzie dell'Unione (EUAN) su proposta del suo comitato consultivo TIC per difendere gli interessi degli organi e degli organismi dell'Unione che gestiscono il proprio ambiente TIC diversi da quelli di cui alla lettera a). |
I soggetti_dell'Unione rappresentati nell'IICB mirano a conseguire l'equilibrio di genere tra i rappresentanti designati.
4. I membri dell'IICB possono farsi assistere da un supplente. Altri rappresentanti dei soggetti_dell'Unione di cui al paragrafo 3 o di altri soggetti_dell'Unione possono essere invitati dal presidente ad assistere alle riunioni dell'IICB senza avere diritto di voto.
5. Il direttore del CERT-UE e i presidenti del gruppo di cooperazione, della rete di CSIRT e della rete EU-CyCLONe, istituiti, rispettivamente, a norma degli articoli 14, 15 e 16 della direttiva (UE) 2022/2555, o i loro supplenti possono partecipare alle riunioni dell'IICB in qualità di osservatori. In casi eccezionali l'IICB può decidere diversamente, conformemente al proprio regolamento interno.
6. L'IICB adotta il proprio regolamento interno.
7. L'IICB designa un presidente, conformemente al proprio regolamento interno, tra i suoi membri per un periodo di tre anni. Il supplente del presidente diventa membro a pieno titolo dell'IICB per la stessa durata.
8. L'IICB si riunisce almeno tre volte all'anno su iniziativa del presidente, su richiesta del CERT-UE o su richiesta di uno dei membri.
9. Ciascun membro dell'IICB dispone di un voto. Le decisioni dell'IICB sono adottate a maggioranza semplice, salvo ove il presente regolamento disponga diversamente. Il presidente dell'IICB non dispone di un voto, tranne in caso di parità di voti, nel qual caso può esprimere il voto decisivo.
10. L'IICB può deliberare mediante una procedura scritta semplificata avviata conformemente al proprio regolamento interno. In base a tale procedura la pertinente decisione è considerata approvata entro il termine fissato dal presidente, salvo obiezioni da parte di uno dei membri.
11. Le funzioni di segretariato dell'IICB sono espletate dalla Commissione e il segretariato rende conto al presidente dell'IICB.
12. I rappresentanti nominati dall'EUAN trasmettono le decisioni dell'IICB ai membri dell'EUAN. Ogni membro dell'EUAN ha la facoltà di sottoporre a tali rappresentanti o al presidente dell'IICB ogni questione che ritenga debba essere portata all'attenzione di tale comitato.
13. L'IICB può istituire un comitato esecutivo che lo assista nel suo lavoro e può delegare a tale comitato alcuni dei suoi compiti e poteri. L'IICB stabilisce il regolamento interno del comitato esecutivo, compresi i suoi compiti e i suoi poteri, e il mandato dei suoi membri.
14. Entro l'8 gennaio 2025 e successivamente a cadenza annuale, l'IICB presenta al Parlamento europeo e al Consiglio una relazione che illustra i progressi compiuti nell'attuazione del presente regolamento e precisa, in particolare, la portata della cooperazione del CERT-UE con i suoi omologhi degli Stati membri in ciascuno Stato membro. La relazione costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell'Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.
Articolo 16
Questioni finanziarie e relative al personale
1. Il CERT-UE è integrato nella struttura amministrativa di una direzione generale della Commissione al fine di beneficiare delle strutture di sostegno amministrativo, finanziario e contabile della Commissione, mantenendo nel contempo il suo status di prestatore di servizi interistituzionale autonomo per tutti i soggetti_dell'Unione. La Commissione informa l'IICB in merito alla collocazione amministrativa del CERT-UE e a eventuali cambiamenti al riguardo. La Commissione riesamina le disposizioni amministrative relative al CERT-UE periodicamente e in ogni caso prima della definizione di un quadro finanziario pluriennale a norma dell'articolo 312 TFUE, al fine di consentire l'adozione di misure adeguate. Il riesame include la possibilità di istituire il CERT-UE come organismo dell'Unione.
2. Per l'applicazione delle procedure amministrative e finanziarie, il direttore del CERT-UE agisce sotto l'autorità della Commissione e sotto la supervisione dell'IICB.
3. I compiti e le attività del CERT-UE, compresi i servizi da esso prestati ai sensi dell'articolo 13, paragrafi 3, 4, 5 e 7, e dell'articolo 14, paragrafo 1, ai soggetti_dell'Unione rientranti nella rubrica del quadro finanziario pluriennale relativa alla pubblica amministrazione europea, sono finanziati tramite una linea distinta del bilancio della Commissione. I posti riservati al CERT-UE sono specificati in una nota a piè di pagina della tabella dell'organico della Commissione.
4. I soggetti_dell'Unione diversi da quelli di cui al paragrafo 3 del presente articolo forniscono un contributo finanziario annuale al CERT-UE per coprire i servizi da esso prestati ai sensi dello stesso paragrafo. I contributi sono basati su orientamenti dati dall'IICB e concordati tra ciascun soggetto dell'Unione e il CERT-UE in accordi sul livello dei servizi. I contributi rappresentano una quota equa e proporzionata dei costi totali dei servizi forniti. Essi sono assegnati alla linea di bilancio distinta di cui al paragrafo 3 del presente articolo, come entrate con destinazione specifica interna ai sensi dell'articolo 21, paragrafo 3, lettera c), del regolamento (UE, Euratom) 2018/1046.
5. I costi dei servizi di cui all'articolo 13, paragrafo 6, sono a carico dei soggetti_dell'Unione che ricevono i servizi del CERT-UE. Le entrate sono destinate alle linee di bilancio che sostengono i costi.
Articolo 26
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, il 13 dicembre 2023
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
P. NAVARRO RÍOS
(1) Posizione del Parlamento europeo del 21 novembre 2023 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio dell'8 dicembre 2023.
(2) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).
(3) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019, pag. 15).
(4) Accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell'Unione europea, la Commissione europea, la Corte di giustizia dell'Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l'azione esterna, il Comitato economico e sociale europeo, il Comitato europeo delle regioni e la Banca europea per gli investimenti sull'organizzazione e il funzionamento della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'Unione (CERT-UE) (GU C 12 del 13.1.2018, pag. 1).
(5) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).
(6) Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).
(7) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
(8) GU C 258 del 5.7.2022, pag. 10.
(9) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).
(10) Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0707 (electronic edition)