keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Definizioni
- 1 Art. 13 Missione e compiti del CERT-UE
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 29
- cert-ue 18
- soggetti_dell 18
- articolo 17
- ue / 15
- cibersicurezza 13
- punto 11
- direttiva 11
- servizi 11
- livello 10
- il 9
- informazioni 9
- incidente 7
- regolamento 7
- incidenti 7
- iicb 6
- cooperazione 6
- rete 6
- definita 6
- definito 6
- soggetto 6
- assistenza 4
- materia 4
- minacce 4
- attuazione 4
- accordi 4
- sistemi 4
- caso 4
- presente 4
- vulnerabilità 4
- informatiche 4
- coordinamento 4
- sensi 4
- base 4
- sostegno 4
- compiti 4
- ambiente 4
- informativi 3
- casi 3
- richiesta 3
- diversi 3
- approvazione 3
- csirt 3
- trattato 3
- previa 3
- gestione_degli_incidenti 3
- forniti 3
- norme 3
- controllo 3
- europea 3
Articolo 3
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
1) | « soggetti_dell'Unione»: le istituzioni, gli organi e gli organismi dell'Unione istituiti dal trattato sull'Unione europea, dal trattato sul funzionamento dell'Unione europea (TFUE), dal trattato che istituisce la Comunità europea dell'energia atomica, oppure a norme degli stessi; |
2) | « sistema_informativo_e_di_rete»: un sistema_informativo_e_di_rete quale definito all'articolo 6, punto 1), della direttiva (UE) 2022/2555; |
3) | « sicurezza_dei_sistemi_informativi_e_di_rete»: la sicurezza_dei_sistemi_informativi_e_di_rete quale definita all'articolo 6, punto 2), della direttiva (UE) 2022/2555; |
4) | « cibersicurezza»: la cibersicurezza quale definita all'articolo 2, punto 1), del regolamento (UE) 2019/881; |
5) | « livello_di_dirigenza_più_elevato»: un dirigente, un organo di gestione o un organo di coordinamento e sorveglianza responsabile del funzionamento di un soggetto dell'Unione, al livello amministrativo più alto, con il mandato di adottare o autorizzare decisioni in linea con i sistemi di governance ad alto livello di tale soggetto dell'Unione, ferme restando le responsabilità formali degli altri livelli di dirigenza rispetto all'osservanza delle norme e alla gestione dei rischi di cibersicurezza nei rispettivi settori di competenza; |
6) | « quasi_ incidente»: un quasi_ incidente quale definito all'articolo 6, punto 5), della direttiva (UE) 2022/2555; |
7) | « incidente»: un incidente quale definito all'articolo 6, punto 6), della direttiva (UE) 2022/2555; |
8) | « incidente grave»: un incidente che causa un livello di perturbazione superiore alla capacità di un soggetto dell'Unione e del CERT-UE di rispondervi o che ha un impatto significativo su almeno due soggetti_dell'Unione; |
9) | « incidente di cibersicurezza su vasta scala»: un incidente di cibersicurezza su vasta scala quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555; |
10) | « gestione_degli_incidenti»: la gestione_degli_incidenti quale definita all'articolo 6, punto 8), della direttiva (UE) 2022/2555; |
11) | « minaccia_informatica»: una minaccia_informatica quale definita all'articolo 2, punto 8), del regolamento (UE) 2019/881; |
12) | « minaccia_informatica significativa»: una minaccia_informatica significativa quale definita all'articolo 6, punto 11), della direttiva (UE) 2022/2555; |
13) | « vulnerabilità»: una vulnerabilità quale definita all'articolo 6, punto 15), della direttiva (UE) 2022/2555; |
14) | «rischio per la cibersicurezza»: un rischio quale definito all'articolo 6, punto 9), della direttiva (UE) 2022/2555; |
15) | « servizio_di_cloud_computing»: un servizio_di_cloud_computing quale definito all'articolo 6, punto 30), della direttiva (UE) 2022/2555. |
Articolo 13
Missione e compiti del CERT-UE
1. La missione del CERT-UE consiste nel contribuire alla sicurezza dell'ambiente TIC non riservato dei soggetti_dell'Unione fornendo loro consulenza in materia di cibersicurezza, aiutandoli a prevenire, rilevare, affrontare e attenuare gli incidenti e a rispondervi e riprendersi dagli stessi, e fungendo per tali soggetti da piattaforma per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta in caso di incidenti.
2. Il CERT-UE raccoglie, gestisce, analizza e condivide informazioni con i soggetti_dell'Unione sulle minacce informatiche, le vulnerabilità e gli incidenti riguardanti le infrastrutture TIC non riservate. Coordina le risposte agli incidenti a livello interistituzionale e a livello di soggetti_dell'Unione, anche assicurando o coordinando la prestazione di assistenza operativa specializzata.
3. Il CERT-UE svolge i seguenti compiti per assistere i soggetti_dell'Unione:
a) | li assiste nell'attuazione del presente regolamento e contribuisce al coordinamento della sua attuazione tramite le misure elencate all'articolo 14, paragrafo 1, o tramite relazioni ad hoc richieste dall'IICB; |
b) | offre servizi CSIRT standard per i soggetti_dell'Unione attraverso un pacchetto di servizi di cibersicurezza descritti nel proprio catalogo dei servizi («servizi di base»); |
c) | mantiene una rete di omologhi e partner a sostegno dei propri servizi, come indicato agli articoli 17 e 18; |
d) | richiama l'attenzione dell'IICB su ogni problema relativo all'attuazione del presente regolamento e all'attuazione degli indirizzi, delle raccomandazioni e degli inviti a intervenire; |
e) | sulla base delle informazioni di cui al paragrafo 2, contribuisce alla consapevolezza situazionale informatica dell'Unione in stretta cooperazione con l'ENISA; |
f) | coordina la gestione_degli_incidenti gravi; |
g) | funge, per i soggetti_dell'Unione, da equivalente del coordinatore designato ai fini della divulgazione coordinata delle vulnerabilità di cui all'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555; |
h) | fornisce, su richiesta di un soggetto dell'Unione, la scansione proattiva e non invasiva dei sistemi informativi e di rete accessibili al pubblico di tale soggetto dell'Unione. |
Le informazioni di cui al primo comma, lettera e), sono condivise con l'IICB, la rete CSIRT e il Centro UE di situazione e di intelligence (INTCEN), ove applicabile e appropriato, e sono soggette ad adeguate condizioni di riservatezza.
4. Il CERT-UE può cooperare, conformemente all'articolo 17 o 18, a seconda dei casi, con le pertinenti comunità di cibersicurezza all'interno dell'Unione e dei suoi Stati membri, anche nei settori seguenti:
a) | preparazione, coordinamento in caso di incidente, scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati ai soggetti_dell'Unione; |
b) | cooperazione operativa per quanto riguarda la rete CSIRT, anche per l'assistenza reciproca; |
c) | intelligence relativa alle minacce informatiche, compresa la consapevolezza situazionale; |
d) | ogni tematica che richieda le competenze tecniche in materia di cibersicurezza del CERT-UE. |
5. Nell'ambito delle sue competenze il CERT-UE avvia una cooperazione strutturata con l'ENISA in materia di sviluppo di capacità, cooperazione operativa e analisi strategiche a lungo termine delle minacce informatiche ai sensi del regolamento (UE) 2019/881. Il CERT-UE può cooperare e scambiare informazioni con il Centro per la lotta alla criminalità informatica di Europol.
6. Il CERT-UE può prestare i seguenti servizi non descritti nel suo catalogo dei servizi («servizi addebitabili»):
a) | servizi a sostegno della cibersicurezza dell'ambiente TIC dei soggetti_dell'Unione, diversi da quelli di cui al paragrafo 3, forniti in base ad accordi sul livello dei servizi e compatibilmente con le risorse disponibili, in particolare il controllo della rete ad ampio spettro, compreso il controllo di prima linea 24 ore al giorno, 7 giorni su 7, per le minacce informatiche di gravità elevata; |
b) | servizi a sostegno di operazioni o progetti di cibersicurezza dei soggetti_dell'Unione, diversi da quelli volti a proteggere il loro ambiente TIC, forniti in base ad accordi scritti e previa approvazione dell'IICB; |
c) | su richiesta, una scansione proattiva dei sistemi informativi e di rete del soggetto dell'Unione interessato per individuare le vulnerabilità con un potenziale impatto significativo; |
d) | servizi a sostegno della sicurezza dell'ambiente TIC di organizzazioni diverse dai soggetti_dell'Unione e che cooperano strettamente con tali soggetti, ad esempio perché investite di compiti o responsabilità ai sensi del diritto dell'Unione, forniti in base ad accordi scritti e previa approvazione dell'IICB. |
Per quanto riguarda il primo comma, lettera d), in via eccezionale il CERT-UE può stipulare accordi sul livello dei servizi con soggetti diversi da quelli dell'Unione, previa approvazione dell'IICB.
7. Il CERT-UE organizza esercitazioni di cibersicurezza e può parteciparvi o raccomandare la partecipazione alle esercitazioni esistenti, se del caso in stretta cooperazione con l'ENISA, per verificare il livello di cibersicurezza dei soggetti_dell'Unione.
8. Il CERT-UE può fornire assistenza ai soggetti_dell'Unione in caso di incidenti in reti e sistemi informativi che trattano ICUE se i soggetti_dell'Unione interessati lo richiedono esplicitamente in conformità delle rispettive procedure. La fornitura di assistenza da parte del CERT-UE ai sensi del presente paragrafo non pregiudica le norme applicabili in materia di protezione delle informazioni classificate.
9. Il CERT-UE informa i soggetti_dell'Unione delle sue procedure e dei suoi processi di gestione_degli_incidenti.
10. Il CERT-UE fornisce, con un elevato livello di riservatezza e affidabilità, attraverso meccanismi di cooperazione e linee gerarchiche appropriati, informazioni pertinenti e anonimizzate sugli incidenti gravi e sul modo in cui sono stati gestiti. Tali informazioni sono inserite nella relazione di cui all’articolo 10, paragrafo 14.
11. Il CERT-UE, in collaborazione con il GEPD, sostiene i soggetti_dell'Unione interessati nei casi di incidenti che comportano violazioni di dati personali, senza pregiudicare la competenza e i compiti del GEPD in quanto autorità di controllo ai sensi del regolamento (UE) 2018/1725.
12. Su esplicita richiesta dei dipartimenti politici dei soggetti_dell'Unione, il CERT-UE può fornire consulenza tecnica o contributi tecnici su importanti questioni strategiche.
whereas