keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Misure di gestione dei rischi per la cibersicurezza
- 1 Art. 9 Piani di cibersicurezza
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- cibersicurezza 33
- unione 14
- rischi 12
- gestione 11
- misure 10
- soggetto 9
- articolo 8
- piano 7
- sicurezza 7
- caso 6
- incidenti 6
- norma 5
- servizi 5
- vulnerabilità 5
- soggetti_dell 5
- materia 5
- politiche 4
- sviluppo 4
- informatiche 4
- risorse 4
- sistemi 4
- valutazione 3
- interistituzionale 3
- minacce 3
- attuazione 3
- livello 3
- controllo 3
- conto 3
- software 3
- livello_di_dirigenza_più_elevato 3
- formazione 3
- prestatori 3
- comprese 3
- quadro 3
- interno 2
- sicura 2
- complessiva 2
- specifiche 2
- contrattuali 2
- comunicazioni 2
- obiettivi 2
- presente 2
- cifratura 2
- analisi 2
- programmi 2
- crisi 2
- informativi 2
- relativi 2
- elevato 2
- rete 2
Articolo 8
Misure di gestione dei rischi per la cibersicurezza
1. Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.
2. Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:
| a) | la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo; |
| b) | le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi; |
| c) | gli obiettivi strategici relativi all'uso dei servizi di cloud computing; |
| d) | un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile; |
| e) | l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza; |
| f) | l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità; |
| g) | la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC; |
| h) | la sicurezza delle risorse umane e il controllo degli accessi; |
| i) | la sicurezza delle operazioni; |
| j) | la sicurezza delle comunicazioni; |
| k) | l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità; |
| l) | se possibile, le politiche in materia di trasparenza del codice sorgente; |
| m) | la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi; |
| n) | la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione; |
| o) | la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e |
| p) | la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza. |
Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.
3. I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:
| a) | disposizioni tecniche per consentire e sostenere il telelavoro; |
| b) | provvedimenti concreti per compiere progressi verso i principi fiducia zero; |
| c) | l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete; |
| d) | l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura; |
| e) | se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione; |
| f) | misure proattive per l'identificazione e la rimozione di software maligni e spyware; |
| g) | l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software; |
| h) | l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento; |
| i) | la regolare formazione del personale in materia di cibersicurezza; |
| j) | se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione; |
| k) | il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:
|
Articolo 9
Piani di cibersicurezza
1. A seguito della conclusione della valutazione di maturità della cibersicurezza svolta a norma dell'articolo 7 e considerando le risorse e i rischi per la cibersicurezza individuati nell'ambito del quadro e le misure di gestione dei rischi per la cibersicurezza adottate a norma dell'articolo 8, il livello_di_dirigenza_più_elevato di ogni soggetto dell'Unione approva, senza indebito ritardo e comunque entro l'8 gennaio 2026, un piano di cibersicurezza. Il piano di cibersicurezza è volto ad aumentare la cibersicurezza complessiva del soggetto dell'Unione e contribuisce così al rafforzamento di un livello comune elevato di cibersicurezza all'interno dei soggetti_dell'Unione. Il piano di cibersicurezza comprende come minimo le misure di gestione dei rischi per la cibersicurezza adottate in conformità dell'articolo 8. Il piano di cibersicurezza è rivisto ogni due anni o più spesso, se necessario, a seguito delle valutazioni di maturità della cibersicurezza svolte a norma dell'articolo 7 o di un riesame sostanziale del quadro.
2. Il piano di cibersicurezza comprende il piano di gestione delle crisi informatiche del soggetto dell'Unione per gli incidenti gravi.
3. Il soggetto dell'Unione trasmette il piano di cibersicurezza completo al comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10.
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
whereas