keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 11 Compiti dell'IICB
- 2 Art. 14 Indirizzi, raccomandazioni e inviti a intervenire
- 1 Art. 15 Direttore del CERT-UE
- 1 Art. 21 Obblighi di segnalazione
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- cert-ue 45
- unione 31
- soggetti_dell 23
- cibersicurezza 20
- articolo 19
- direttore 17
- incidente 17
- iicb 16
- informazioni 12
- relazione 12
- servizi 11
- caso 10
- impatto 9
- incidenti 9
- misure 9
- significativo 9
- gestione 9
- proposta 9
- accordi 8
- raccomandazioni 8
- livello 8
- approva 8
- soggetto 7
- presente 7
- norma 7
- indirizzi 7
- ritardo 6
- base 6
- indebito 6
- il 6
- conto 6
- annuale 6
- relazioni 6
- modalità 5
- soggetti 5
- proposte 5
- rischi 5
- attuazione 5
- catalogo 5
- attività 5
- sicurezza 5
- direttiva 4
- ue / 4
- paragrafo 4
- relative 4
- controlla 4
- notifica 4
- segnalazione 4
- regolamento 4
- indicatori 4
Articolo 11
Compiti dell'IICB
Nell'esercizio delle sue responsabilità l'IICB, in particolare:
a) | fornisce orientamenti al direttore del CERT-UE; |
b) | controlla e vigila efficacemente sull'attuazione del presente regolamento e sostiene i soggetti_dell'Unione nel rafforzamento della loro cibersicurezza, anche, se del caso, richiedendo relazioni ad hoc ai soggetti_dell'Unione e al CERT-UE; |
c) | previa discussione strategica, adotta una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti_dell'Unione, valuta tale strategia periodicamente e comunque ogni cinque anni e, ove necessario, la modifica; |
d) | stabilisce la metodologia e gli aspetti organizzativi per lo svolgimento di riesami inter pares volontari da parte di soggetti_dell'Unione, al fine di trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di cibersicurezza e migliorare le capacità di cibersicurezza dei soggetti_dell'Unione, garantendo che tali riesami inter pares siano condotti da esperti di cibersicurezza designati da un soggetto dell'Unione diverso da quello sottoposto al riesame e che la metodologia si basi sull'articolo 19 della direttiva (UE) 2022/2555 e sia, se del caso, adattata ai soggetti_dell'Unione; |
e) | approva, sulla base di una proposta del direttore del CERT-UE, il programma di lavoro annuale del CERT-UE e ne controlla l'attuazione; |
f) | approva, sulla base di una proposta del direttore del CERT-UE, il catalogo dei servizi offerti dal CERT-UE e ogni suo aggiornamento; |
g) | approva, sulla base di una proposta del direttore del CERT-UE, la pianificazione finanziaria annuale delle entrate e delle spese, anche in materia di personale, per le attività del CERT-UE; |
h) | approva, sulla base di una proposta del direttore del CERT-UE, le modalità degli accordi sul livello dei servizi; |
i) | esamina e approva la relazione annuale elaborata dal direttore del CERT-UE riguardante le attività del CERT-UE, nonché la gestione dei fondi da parte di quest'ultimo; |
j) | approva e controlla gli indicatori essenziali di prestazione per il CERT-UE stabiliti sulla base di una proposta del direttore del CERT-UE; |
k) | approva gli accordi di cooperazione, gli accordi sul livello dei servizi o i contratti tra il CERT-UE e altri soggetti ai sensi dell'articolo 18; |
l) | adotta indirizzi e raccomandazioni sulla base di una proposta del CERT-UE conformemente all'articolo 14 e dà istruzione al CERT-UE di emanare, ritirare o modificare una proposta relativa a indirizzi o raccomandazioni, o un invito a intervenire; |
m) | istituisce gruppi di consulenza tecnica con compiti specifici per assistere l'IICB nel suo operato, approva il loro mandato e ne designa i rispettivi presidenti; |
n) | riceve e valuta i documenti e le relazioni presentati dai soggetti_dell'Unione a norma del presente regolamento, come le valutazioni di maturità della cibersicurezza; |
o) | facilita l'istituzione di un gruppo informale di responsabili locali della cibersicurezza dei soggetti_dell'Unione, con il sostegno dell'ENISA, allo scopo di scambiare migliori pratiche e informazioni in relazione all'attuazione del presente regolamento; |
p) | tenendo conto delle informazioni sui rischi di cibersicurezza individuati e degli insegnamenti tratti dal CERT-UE, controlla l'adeguatezza degli accordi di interconnettività tra gli ambienti TIC dei soggetti_dell'Unione e fornisce consulenza su eventuali miglioramenti; |
q) | istituisce un piano di gestione delle crisi informatiche al fine di sostenere, a livello operativo, la gestione coordinata degli incidenti gravi che colpiscono i soggetti_dell'Unione e al fine di contribuire allo scambio regolare di informazioni pertinenti, in particolare per quanto riguarda l'impatto e l'entità degli incidenti gravi e i possibili modi per attenuarne gli effetti; |
r) | coordina l'adozione dei piani individuali di gestione delle crisi informatiche dei soggetti_dell'Unione di cui all'articolo 9, paragrafo 2; |
s) | adotta raccomandazioni relative alla sicurezza delle catene di approvvigionamento di cui all'articolo 8, paragrafo 2, primo comma, lettera m), tenendo conto dei risultati delle valutazioni coordinate a livello dell'Unione dei rischi di sicurezza delle catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti_dell'Unione nell'adozione di misure di gestione dei rischi di cibersicurezza efficaci e proporzionate. |
Articolo 14
Indirizzi, raccomandazioni e inviti a intervenire
1. Il CERT-UE contribuisce all'attuazione del presente regolamento emanando:
a) | inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti_dell'Unione sono esortati ad adottare entro un termine stabilito; |
b) | proposte all'IICB per indirizzi destinati a tutti i soggetti_dell'Unione o a una parte di essi; |
c) | proposte all'IICB per raccomandazioni destinate a singoli soggetti_dell'Unione. |
Per quanto riguarda il primo comma, lettera a), il soggetto dell'Unione interessato, senza indebito ritardo dopo aver ricevuto l'invito a intervenire, informa il CERT-UE su come ha applicato le misure di sicurezza urgenti.
2. Gli indirizzi e le raccomandazioni possono contenere:
a) | metodologie comuni e un modello per valutare la maturità della cibersicurezza dei soggetti_dell'Unione, comprese le scale o gli indicatori essenziali di prestazione corrispondenti, destinati a servire da riferimento a sostegno del miglioramento continuo della cibersicurezza in tutti i soggetti_dell'Unione e a facilitare l'assegnazione di priorità ai settori e alle misure di cibersicurezza tenendo conto della posizione di cibersicurezza dei soggetti; |
b) | modalità o miglioramenti riguardanti la gestione dei rischi per la cibersicurezza e le misure di gestione dei rischi di cibersicurezza; |
c) | modalità relative alle valutazioni di maturità della cibersicurezza e ai piani di cibersicurezza; |
d) | se del caso, disposizioni sull'utilizzo di una tecnologia, architettura, pratiche open source e relative migliori pratiche comuni allo scopo di conseguire interoperabilità e norme comuni, compreso un approccio coordinato alla sicurezza della catena di approvvigionamento; |
e) | se del caso, informazioni per agevolare l'uso di strumenti per appalti comuni volti all'acquisto presso fornitori terzi di pertinenti servizi e prodotti di cibersicurezza; |
f) | accordi di condivisione delle informazioni a norma dell'articolo 20. |
Articolo 15
Direttore del CERT-UE
1. Dopo aver ottenuto l'approvazione da una maggioranza di due terzi dei membri dell'IICB, la Commissione nomina il direttore del CERT-UE. L'IICB è consultato in tutte le fasi della procedura di nomina, in particolare per quanto riguarda la redazione degli avvisi di posto vacante, l'esame delle candidature e la designazione delle commissioni giudicatrici in relazione a tale incarico. La procedura di selezione, compreso l'elenco ristretto definitivo di candidati tra i quali deve essere nominato il direttore del CERT-UE, garantisce un'equa rappresentanza di ciascun genere, tenendo conto delle domande presentate.
2. Il direttore del CERT-UE è responsabile del buon funzionamento del CERT-UE e agisce nei limiti delle sue attribuzioni e sotto la direzione dell'IICB. Il direttore del CERT-UE riferisce regolarmente al presidente dell'IICB e presenta relazioni ad hoc all'IICB, se questo lo richiede.
3. Il direttore del CERT-UE assiste l'ordinatore delegato competente nell'elaborazione della relazione annuale di attività contenente informazioni finanziarie e di gestione, compresi i risultati dei controlli, redatta a norma dell'articolo 74, paragrafo 9, del regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio (9), e riferisce periodicamente all'ordinatore delegato in merito all'attuazione di misure per le quali sono stati subdelegati poteri al direttore del CERT-UE.
4. Il direttore del CERT-UE elabora annualmente una pianificazione finanziaria delle entrate e delle spese amministrative per le sue attività, una proposta di programma di lavoro annuale, una proposta di catalogo dei servizi per il CERT-UE, proposte di revisione del catalogo dei servizi, proposte di modalità riguardanti gli accordi sul livello dei servizi e proposte di indicatori essenziali di prestazione per il CERT-UE, che devono essere approvate dall'IICB conformemente all'articolo 11. In sede di revisione dell'elenco dei servizi contenuti nel catalogo dei servizi offerti dal CERT-UE, il direttore del CERT-UE tiene conto delle risorse assegnate al CERT-UE.
5. Il direttore del CERT-UE presenta a cadenza almeno annuale all'IICB e al presidente dell'IICB relazioni riguardanti le attività e le prestazioni del CERT-UE durante il periodo di riferimento, inclusi l'esecuzione del bilancio, gli accordi sul livello dei servizi e gli accordi scritti conclusi, la cooperazione con omologhi e partner e le missioni effettuate dal personale, comprese le relazioni di cui all'articolo 11. Tali relazioni comprendono un programma di lavoro per il periodo successivo, la pianificazione finanziaria delle entrate e delle spese, anche relative al personale, gli aggiornamenti previsti del catalogo dei servizi offerti dal CERT-UE e una valutazione dell'impatto previsto di tali aggiornamenti relativamente alle risorse finanziarie e umane.
Articolo 21
Obblighi di segnalazione
1. Un incidente è considerato significativo se:
a) | ha causato o è in grado di causare una grave perturbazione operativa per il funzionamento del soggetto dell'Unione interessato o perdite finanziarie per lo stesso; |
b) | ha interessato o è in grado di interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali. |
2. I soggetti_dell'Unione presentano al CERT-UE:
a) | senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti; |
b) | senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica di incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; |
c) | su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione; |
d) | una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda:
|
e) | in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente. |
3. Un soggetto dell'Unione informa gli omologhi pertinenti degli Stati membri di cui all'articolo 17, paragrafo 1, nello Stato membro in cui ha sede del fatto che si è verificato un incidente significativo, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne è venuto a conoscenza.
4. I soggetti_dell'Unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, l'impatto sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. Fatto salvo l'articolo 12, la sola notifica non espone il soggetto dell'Unione a una maggiore responsabilità.
5. Se del caso, i soggetti_dell'Unione comunicano, senza indebito ritardo, agli utenti dei sistemi informativi e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia_informatica significativa e, se del caso, che devono adottare misure di attenuazione, qualsiasi misura o azione correttiva che possano adottare in risposta a tale incidente o minaccia. Se del caso, i soggetti_dell'Unione informano tali utenti della minaccia_informatica significativa stessa.
6. Qualora un incidente significativo o una minaccia_informatica significativa interessi un sistema_informativo_e_di_rete o una componente dell'ambiente TIC di un soggetto dell'Unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'Unione, il CERT-UE emette una segnalazione di cibersicurezza.
7. I soggetti_dell'Unione, su richiesta del CERT-UE, forniscono senza indebito ritardo al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può fornire ulteriori dettagli sui tipi di informazioni di cui ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.
8. Il CERT-UE trasmette ogni tre mesi all'IICB, all'ENISA, all'EU INTCEN e alla rete CSIRT una relazione di sintesi che comprende dati anonimizzati e aggregati su incidenti significativi, incidenti, minacce informatiche, quasi incidenti e vulnerabilità a norma dell'articolo 20 e sugli incidenti significativi notificati conformemente al paragrafo 2 del presente articolo. La relazione di sintesi costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell’Unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.
9. Entro l'8 luglio 2024, l'IICB emana indirizzi o raccomandazioni che precisano ulteriormente le modalità, il formato e il contenuto della segnalazione a norma del presente articolo. Nell'elaborare tali indirizzi o raccomandazioni, l'IICB tiene conto degli atti di esecuzione adottati a norma dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555, che specificano il tipo di informazioni, il formato e la procedura di notifica. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti_dell'Unione.
10. Gli obblighi di segnalazione stabiliti nel presente articolo non comprendono:
a) | le ICUE; |
b) | le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita. |
whereas