keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Art. 1 Oggetto
- 3 Art. 3 Definizioni
- 1 Art. 4 Trattamento dei dati personali
- 2 Art. 5 Attuazione delle misure
- 6 Art. 6 Quadro di gestione, di governance e di controllo dei rischi
- 9 Art. 8 Misure di gestione dei rischi per la cibersicurezza
- 3 Art. 9 Piani di cibersicurezza
- 3 Art. 11 Compiti dell'IICB
- 2 Art. 12 Osservanza delle disposizioni
- 2 Art. 14 Indirizzi, raccomandazioni e inviti a intervenire
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- cibersicurezza 91
- unione 87
- articolo 60
- soggetto 48
- cert-ue 37
- soggetti_dell 34
- norma 32
- gestione 31
- regolamento 31
- misure 30
- presente 29
- rischi 28
- attuazione 21
- livello 19
- quadro 17
- interessato 16
- ue / 16
- caso 16
- iicb 15
- punto 13
- servizi 13
- sicurezza 13
- direttiva 12
- raccomandazioni 12
- informazioni 11
- indirizzi 11
- conto 10
- piano 10
- base 10
- incidenti 10
- approva 9
- livello_di_dirigenza_più_elevato 9
- il 9
- interistituzionale 9
- controllo 8
- compiti 8
- paragrafo 8
- responsabile 8
- ciascun 8
- comitato 8
- dati 7
- direttore 7
- elevato 7
- obblighi 7
- istituito 7
- lettera 7
- materia 7
- proposta 7
- incidente 7
- definita 6
Articolo 1
Oggetto
Il presente regolamento stabilisce misure volte a conseguire un livello comune elevato di cibersicurezza nei soggetti_dell'Unione con riferimento:
| a) | alla definizione da parte di ciascun soggetto dell'Unione di un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza a norma dell'articolo 6; |
| b) | alla gestione e alla segnalazione dei rischi per la cibersicurezza e alla condivisione delle informazioni; |
| c) | all'organizzazione, al funzionamento e all'operatività del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10, nonché all'organizzazione, al funzionamento e all'operatività del servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell'Unione (CERT-UE); |
| d) | al controllo dell'attuazione del presente regolamento. |
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
| 1) | « soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi; |
| 2) | « sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555; |
| 3) | « sicurezza_dei_sistemi_informativi_e_di_rete»: la sicurezza_dei_sistemi_informativi_e_di_rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555; |
| 4) | « cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; |
| 5) | « livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza; |
| 6) | « quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555; |
| 7) | « incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555; |
| 8) | « incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione; |
| 9) | « incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555; |
| 10) | « gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555; |
| 11) | « minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881; |
| 12) | « minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555; |
| 13) | « vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555; |
| 14) | «rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555; |
| 15) | « servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555. |
Articolo 4
Trattamento dei dati personali
1. Il trattamento dei dati personali a norma del presente regolamento da parte del CERT-UE, del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e dei soggetti_dell'Unione è effettuato in conformità del regolamento (UE) 2018/1725.
2. Nello svolgimento dei compiti o nell'adempimento degli obblighi previsti dal presente regolamento, il CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e i soggetti_dell'Unione trattano e scambiano i dati personali solo nella misura necessaria e al solo scopo di svolgere tali compiti o adempiere a tali obblighi.
3. Il trattamento di categorie particolari di dati personali di cui all'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 è considerato necessario per motivi di interesse pubblico rilevante a norma dell'articolo 10, paragrafo 2, lettera g), di tale regolamento. Tali dati possono essere trattati solo nella misura necessaria per l'attuazione delle misure di gestione dei rischi per la cibersicurezza di cui agli articoli 6 e 8, per la fornitura di servizi da parte del CERT-UE a norma dell'articolo 13, per la condivisione di informazioni specifiche su un incidente a norma dell'articolo 17, paragrafo 3, e dell'articolo 18, paragrafo 3, per la condivisione di informazioni a norma dell'articolo 20, per gli obblighi di segnalazione a norma dell'articolo 21, per il coordinamento della risposta e la cooperazione in caso di incidenti a norma dell'articolo 22 e per la gestione_degli_incidenti gravi a norma dell'articolo 23 del presente regolamento. I soggetti_dell'Unione e il CERT-UE, quando agiscono in qualità di titolari del trattamento, applicano misure tecniche per prevenire il trattamento di categorie particolari di dati personali per scopi diversi e prevedono misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati.
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
Articolo 5
Attuazione delle misure
1. Entro l'8 settembre 2024, il comitato interistituzionale per la cibersicurezza istituito a norma dell’articolo 10, previa consultazione dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e dopo aver ricevuto orientamenti dal CERT-UE, emana indirizzi destinati ai soggetti dell’Unione per effettuare un riesame iniziale della cibersicurezza e istituire un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza a norma dell'articolo 6, svolgere valutazioni di maturità della cibersicurezza a norma dell'articolo 7, adottare misure di gestione dei rischi per la cibersicurezza a norma dell'articolo 8 e adottare il piano di cibersicurezza a norma dell'articolo 9.
2. Nell'attuazione degli articoli da 6 a 9, i soggetti_dell'Unione tengono conto degli indirizzi di cui al paragrafo 1 del presente articolo, nonché degli indirizzi e delle raccomandazioni pertinenti adottati a norma degli articoli 11 e 14.
Articolo 6
Quadro di gestione, di governance e di controllo dei rischi
1. Entro l'8 aprile 2025, ogni soggetto dell'Unione, dopo aver effettuato un riesame iniziale della cibersicurezza, come un audit, istituisce un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza («quadro»). L'istituzione del quadro è soggetta alla vigilanza del livello_di_dirigenza_più_elevato del soggetto dell'Unione ed è sotto la sua responsabilità.
2. Il quadro interessa la totalità dell'ambiente TIC non riservato del soggetto dell'Unione interessato, compresi ogni ambiente TIC e la rete di tecnologie operative in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso a tali ambienti («ambiente TIC»). Il quadro è basato su un approccio multirischio.
3. Il quadro garantisce un livello elevato di cibersicurezza e stabilisce le politiche interne in materia di cibersicurezza, comprensive di obiettivi e priorità, per la sicurezza delle reti e dei sistemi informativi, nonché i ruoli e le responsabilità del personale del soggetto dell'Unione incaricato di garantire l'efficace attuazione del presente regolamento. Il quadro comprende anche meccanismi per misurare l'efficacia dell'attuazione.
4. Il quadro è riesaminato periodicamente in considerazione dell'evoluzione dei rischi per la cibersicurezza e almeno ogni quattro anni. Se del caso e a seguito di una richiesta del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10, il quadro di un soggetto dell'Unione può essere aggiornato sulla base degli orientamenti del CERT-UE sugli incidenti identificati o sulle eventuali lacune osservate nell'attuazione del presente regolamento.
5. Il livello_di_dirigenza_più_elevato di ciascun soggetto dell'Unione è responsabile dell'attuazione del presente regolamento e vigila sul rispetto degli obblighi relativi al quadro da parte della propria organizzazione.
6. Se del caso e fatta salva la sua responsabilità per l'attuazione del presente regolamento, il livello_di_dirigenza_più_elevato di ciascun soggetto dell'Unione può delegare obblighi specifici a norma del presente regolamento ad alti funzionari ai sensi dell'articolo 29, paragrafo 2, dello statuto dei funzionari o ad altri funzionari di livello equivalente, in seno al soggetto dell'Unione interessato. Indipendentemente da tale delega, il livello di gestione più elevato può essere ritenuto responsabile delle violazioni del presente regolamento da parte del soggetto dell'Unione interessato.
7. Ogni soggetto dell'Unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle TIC sia spesa per la cibersicurezza. Nel fissare tale percentuale è tenuto debitamente conto del quadro.
8. Ogni soggetto dell'Unione nomina un responsabile locale per la cibersicurezza o una funzione equivalente come punto di contatto unico per tutti gli aspetti della cibersicurezza. Il responsabile locale per la cibersicurezza agevola l'attuazione del presente regolamento e riferisce direttamente al livello_di_dirigenza_più_elevato a cadenza periodica in merito allo stato di attuazione. Fermo restando che il responsabile locale per la cibersicurezza è il punto di contatto unico in ciascun soggetto dell'Unione, un soggetto dell'Unione può delegare determinati compiti del responsabile locale per la cibersicurezza in relazione all'attuazione del presente regolamento al CERT-UE sulla base di un accordo sul livello dei servizi concluso tra tale soggetto dell'Unione e il CERT-UE, oppure tali compiti possono essere condivisi tra vari soggetti_dell'Unione. In caso di delega di tali compiti al CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 decide se la fornitura di tale servizio fa parte dei servizi di base del CERT-UE, tenendo conto delle risorse umane e finanziarie del soggetto dell'Unione interessato. Ciascun soggetto dell'Unione notifica senza indebito ritardo al CERT-UE il responsabile locale per la cibersicurezza nominato e le eventuali modifiche successive.
Il CERT-UE istituisce un elenco dei responsabili locali per la cibersicurezza nominati e lo mantiene aggiornato.
9. Gli alti funzionari di cui all'articolo 29, paragrafo 2, dello statuto dei funzionari o gli altri funzionari di livello equivalente di ciascun soggetto dell'Unione, così come tutti i membri pertinenti del personale incaricato dell'attuazione delle misure di gestione dei rischi per la cibersicurezza e dell’adempimento degli obblighi stabiliti dal presente regolamento, seguono periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi per la cibersicurezza, le pratiche di gestione degli stessi e il loro impatto sulle attività del soggetto dell'Unione.
Articolo 8
Misure di gestione dei rischi per la cibersicurezza
1. Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.
2. Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'Unione trattano almeno gli ambiti seguenti:
| a) | la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo; |
| b) | le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi; |
| c) | gli obiettivi strategici relativi all'uso dei servizi di cloud computing; |
| d) | un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile; |
| e) | l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza; |
| f) | l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità; |
| g) | la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC; |
| h) | la sicurezza delle risorse umane e il controllo degli accessi; |
| i) | la sicurezza delle operazioni; |
| j) | la sicurezza delle comunicazioni; |
| k) | l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità; |
| l) | se possibile, le politiche in materia di trasparenza del codice sorgente; |
| m) | la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi; |
| n) | la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione; |
| o) | la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e |
| p) | la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza. |
Ai fini del primo comma, lettera m), i soggetti_dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.
3. I soggetti_dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:
| a) | disposizioni tecniche per consentire e sostenere il telelavoro; |
| b) | provvedimenti concreti per compiere progressi verso i principi fiducia zero; |
| c) | l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete; |
| d) | l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura; |
| e) | se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione; |
| f) | misure proattive per l'identificazione e la rimozione di software maligni e spyware; |
| g) | l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software; |
| h) | l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento; |
| i) | la regolare formazione del personale in materia di cibersicurezza; |
| j) | se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'Unione; |
| k) | il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:
|
Articolo 9
Piani di cibersicurezza
1. A seguito della conclusione della valutazione di maturità della cibersicurezza svolta a norma dell'articolo 7 e considerando le risorse e i rischi per la cibersicurezza individuati nell'ambito del quadro e le misure di gestione dei rischi per la cibersicurezza adottate a norma dell'articolo 8, il livello_di_dirigenza_più_elevato di ogni soggetto dell'Unione approva, senza indebito ritardo e comunque entro l'8 gennaio 2026, un piano di cibersicurezza. Il piano di cibersicurezza è volto ad aumentare la cibersicurezza complessiva del soggetto dell'Unione e contribuisce così al rafforzamento di un livello comune elevato di cibersicurezza all'interno dei soggetti_dell'Unione. Il piano di cibersicurezza comprende come minimo le misure di gestione dei rischi per la cibersicurezza adottate in conformità dell'articolo 8. Il piano di cibersicurezza è rivisto ogni due anni o più spesso, se necessario, a seguito delle valutazioni di maturità della cibersicurezza svolte a norma dell'articolo 7 o di un riesame sostanziale del quadro.
2. Il piano di cibersicurezza comprende il piano di gestione delle crisi informatiche del soggetto dell'Unione per gli incidenti gravi.
3. Il soggetto dell'Unione trasmette il piano di cibersicurezza completo al comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10.
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
Articolo 11
Compiti dell'IICB
Nell'esercizio delle sue responsabilità l'IICB, in particolare:
| a) | fornisce orientamenti al direttore del CERT-UE; |
| b) | controlla e vigila efficacemente sull'attuazione del presente regolamento e sostiene i soggetti_dell'Unione nel rafforzamento della loro cibersicurezza, anche, se del caso, richiedendo relazioni ad hoc ai soggetti_dell'Unione e al CERT-UE; |
| c) | previa discussione strategica, adotta una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti_dell'Unione, valuta tale strategia periodicamente e comunque ogni cinque anni e, ove necessario, la modifica; |
| d) | stabilisce la metodologia e gli aspetti organizzativi per lo svolgimento di riesami inter pares volontari da parte di soggetti_dell'Unione, al fine di trarre insegnamenti dalle esperienze condivise, rafforzare la fiducia reciproca, conseguire un livello comune elevato di cibersicurezza e migliorare le capacità di cibersicurezza dei soggetti_dell'Unione, garantendo che tali riesami inter pares siano condotti da esperti di cibersicurezza designati da un soggetto dell'Unione diverso da quello sottoposto al riesame e che la metodologia si basi sull'articolo 19 della direttiva (UE) 2022/2555 e sia, se del caso, adattata ai soggetti_dell'Unione; |
| e) | approva, sulla base di una proposta del direttore del CERT-UE, il programma di lavoro annuale del CERT-UE e ne controlla l'attuazione; |
| f) | approva, sulla base di una proposta del direttore del CERT-UE, il catalogo dei servizi offerti dal CERT-UE e ogni suo aggiornamento; |
| g) | approva, sulla base di una proposta del direttore del CERT-UE, la pianificazione finanziaria annuale delle entrate e delle spese, anche in materia di personale, per le attività del CERT-UE; |
| h) | approva, sulla base di una proposta del direttore del CERT-UE, le modalità degli accordi sul livello dei servizi; |
| i) | esamina e approva la relazione annuale elaborata dal direttore del CERT-UE riguardante le attività del CERT-UE, nonché la gestione dei fondi da parte di quest'ultimo; |
| j) | approva e controlla gli indicatori essenziali di prestazione per il CERT-UE stabiliti sulla base di una proposta del direttore del CERT-UE; |
| k) | approva gli accordi di cooperazione, gli accordi sul livello dei servizi o i contratti tra il CERT-UE e altri soggetti ai sensi dell'articolo 18; |
| l) | adotta indirizzi e raccomandazioni sulla base di una proposta del CERT-UE conformemente all'articolo 14 e dà istruzione al CERT-UE di emanare, ritirare o modificare una proposta relativa a indirizzi o raccomandazioni, o un invito a intervenire; |
| m) | istituisce gruppi di consulenza tecnica con compiti specifici per assistere l'IICB nel suo operato, approva il loro mandato e ne designa i rispettivi presidenti; |
| n) | riceve e valuta i documenti e le relazioni presentati dai soggetti_dell'Unione a norma del presente regolamento, come le valutazioni di maturità della cibersicurezza; |
| o) | facilita l'istituzione di un gruppo informale di responsabili locali della cibersicurezza dei soggetti_dell'Unione, con il sostegno dell'ENISA, allo scopo di scambiare migliori pratiche e informazioni in relazione all'attuazione del presente regolamento; |
| p) | tenendo conto delle informazioni sui rischi di cibersicurezza individuati e degli insegnamenti tratti dal CERT-UE, controlla l'adeguatezza degli accordi di interconnettività tra gli ambienti TIC dei soggetti_dell'Unione e fornisce consulenza su eventuali miglioramenti; |
| q) | istituisce un piano di gestione delle crisi informatiche al fine di sostenere, a livello operativo, la gestione coordinata degli incidenti gravi che colpiscono i soggetti_dell'Unione e al fine di contribuire allo scambio regolare di informazioni pertinenti, in particolare per quanto riguarda l'impatto e l'entità degli incidenti gravi e i possibili modi per attenuarne gli effetti; |
| r) | coordina l'adozione dei piani individuali di gestione delle crisi informatiche dei soggetti_dell'Unione di cui all'articolo 9, paragrafo 2; |
| s) | adotta raccomandazioni relative alla sicurezza delle catene di approvvigionamento di cui all'articolo 8, paragrafo 2, primo comma, lettera m), tenendo conto dei risultati delle valutazioni coordinate a livello dell'Unione dei rischi di sicurezza delle catene di approvvigionamento critiche di cui all'articolo 22 della direttiva (UE) 2022/2555 per sostenere i soggetti_dell'Unione nell'adozione di misure di gestione dei rischi di cibersicurezza efficaci e proporzionate. |
Articolo 12
Osservanza delle disposizioni
1. L'IICB, a norma dell'articolo 10, paragrafo 2, e dell'articolo 11, controlla efficacemente che i soggetti_dell'Unione attuino il presente regolamento e gli indirizzi, le raccomandazioni e gli inviti a intervenire da loro adottati. L'IICB può chiedere ai soggetti_dell'Unione le informazioni o la documentazione necessarie a tal fine. Ai fini dell'adozione di misure di osservanza ai sensi del presente articolo, il soggetto dell'Unione interessato, se è direttamente rappresentato nell’IICB, ’non ha diritto di voto.
2. Qualora constati che un soggetto dell'Unione non ha attuato efficacemente il presente regolamento o gli indirizzi, le raccomandazioni o gli inviti a intervenire emanati in base ad esso, ferme restando le procedure interne del soggetto dell'Unione interessato e dopo aver dato a quest'ultimo l'opportunità di presentare le proprie opinioni, l'IICB può:
| a) | comunicare al soggetto dell'Unione interessato un parere motivato sulle carenze osservate nell'attuazione del presente regolamento; |
| b) | previa consultazione del CERT-UE, fornire indirizzi al soggetto dell'Unione interessato affinché il suo quadro, le sue misure di gestione del rischio di cibersicurezza, il suo piano di cibersicurezza e le sue relazioni si conformino al presente regolamento entro un termine specificato; |
| c) | emanare un avvertimento per rimediare alle carenze individuate entro un termine specificato, comprese raccomandazioni per modificare le misure adottate dal soggetto dell'Unione interessato ai sensi del presente regolamento; |
| d) | inviare una notifica motivata al soggetto dell'Unione interessato nel caso in cui entro il termine specificato non sia stato posto sufficiente rimedio alle carenze individuate in un avvertimento emanato a norma della lettera c); |
| e) | emanare:
|
| f) | se del caso, informare la Corte dei conti, nell'ambito del suo mandato, della presunta inosservanza; |
| g) | emanare una raccomandazione affinché tutti gli Stati membri e i soggetti_dell'Unione attuino una sospensione temporanea dei flussi di dati verso il soggetto dell'Unione interessato. |
Ai fini del primo comma, lettera c), i destinatari dell'avvertimento sono adeguatamente circoscritti, se necessario in considerazione di un rischio per la cibersicurezza.
Gli avvertimenti e le raccomandazioni emanati ai sensi del primo comma sono indirizzati al livello_di_dirigenza_più_elevato del soggetto dell'Unione interessato.
3. Qualora l'IICB abbia adottato misure a norma del paragrafo 2, primo comma, lettere da a) a g), il soggetto dell'Unione interessato fornisce dettagli delle misure e azioni adottate per ovviare alle presunte carenze individuate dall'IICB. Il soggetto dell'Unione presenta tali dettagli entro un periodo di tempo ragionevole da concordare con l'IICB.
4. Qualora l'IICB ritenga che vi sia una violazione persistente del presente regolamento da parte di un soggetto dell'Unione derivante direttamente da azioni o omissioni di un funzionario o altro agente dell'Unione, anche al livello_di_dirigenza_più_elevato, l'IICB chiede al soggetto dell'Unione interessato di adottare misure appropriate, anche chiedendo di prendere in considerazione l'adozione di misure di natura disciplinare, conformemente alle norme e alle procedure stabilite nello statuto del personale e a qualsiasi altra norma e procedura applicabile. A tal fine, l'IICB trasferisce le informazioni necessarie al soggetto dell'Unione interessato.
5. Qualora i soggetti_dell'Unione comunichino di non essere in grado di rispettare le scadenze di cui all'articolo 6, paragrafo 1, e all'articolo 8, paragrafo 1, l'IICB può, in casi debitamente motivati e tenendo conto delle dimensioni del soggetto dell'Unione, autorizzarne la proroga.
CAPO IV
CERT-UE
Articolo 14
Indirizzi, raccomandazioni e inviti a intervenire
1. Il CERT-UE contribuisce all'attuazione del presente regolamento emanando:
| a) | inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti_dell'Unione sono esortati ad adottare entro un termine stabilito; |
| b) | proposte all'IICB per indirizzi destinati a tutti i soggetti_dell'Unione o a una parte di essi; |
| c) | proposte all'IICB per raccomandazioni destinate a singoli soggetti_dell'Unione. |
Per quanto riguarda il primo comma, lettera a), il soggetto dell'Unione interessato, senza indebito ritardo dopo aver ricevuto l'invito a intervenire, informa il CERT-UE su come ha applicato le misure di sicurezza urgenti.
2. Gli indirizzi e le raccomandazioni possono contenere:
| a) | metodologie comuni e un modello per valutare la maturità della cibersicurezza dei soggetti_dell'Unione, comprese le scale o gli indicatori essenziali di prestazione corrispondenti, destinati a servire da riferimento a sostegno del miglioramento continuo della cibersicurezza in tutti i soggetti_dell'Unione e a facilitare l'assegnazione di priorità ai settori e alle misure di cibersicurezza tenendo conto della posizione di cibersicurezza dei soggetti; |
| b) | modalità o miglioramenti riguardanti la gestione dei rischi per la cibersicurezza e le misure di gestione dei rischi di cibersicurezza; |
| c) | modalità relative alle valutazioni di maturità della cibersicurezza e ai piani di cibersicurezza; |
| d) | se del caso, disposizioni sull'utilizzo di una tecnologia, architettura, pratiche open source e relative migliori pratiche comuni allo scopo di conseguire interoperabilità e norme comuni, compreso un approccio coordinato alla sicurezza della catena di approvvigionamento; |
| e) | se del caso, informazioni per agevolare l'uso di strumenti per appalti comuni volti all'acquisto presso fornitori terzi di pertinenti servizi e prodotti di cibersicurezza; |
| f) | accordi di condivisione delle informazioni a norma dell'articolo 20. |
whereas