keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 4 Art. 4 trattamento dei dati personali
- 1 Art. 18 Cooperazione tra il CERT-UE ed altri omologhi
- 1 Art. 19 trattamento delle informazioni
- 1 Art. 20 Accordi di condivisione delle informazioni sulla cibersicurezza
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- cert-ue 26
- unione 26
- articolo 21
- informazioni 18
- europeo 16
- cibersicurezza 15
- n / 15
- regolamento 14
- consiglio 13
- parlamento 12
- norma 11
- soggetti_dell 11
- trattamento 10
- pag 9
- dati 9
- europea 8
- caso 7
- cooperazione 7
- omologhi 7
- soggetto 7
- incidenti 7
- gu l 7
- ue / 7
- condivisione 6
- il 6
- misure 6
- personali 6
- presente 6
- incidente 5
- specifiche 5
- obblighi 5
- paragrafo 5
- regolamento 5
- riservatezza 4
- vulnerabilità 4
- comitato 4
- decisione 4
- partner 4
- abroga 4
- applicabili 4
- soggetti 4
- informatiche 4
- minacce 4
- accordi 4
- presidente 4
- preventiva 3
- relative 3
- interessato 3
- livello 3
- elevato 3
Articolo 4
trattamento dei dati personali
1. Il trattamento dei dati personali a norma del presente regolamento da parte del CERT-UE, del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e dei soggetti_dell'Unione è effettuato in conformità del regolamento (UE) 2018/1725.
2. Nello svolgimento dei compiti o nell'adempimento degli obblighi previsti dal presente regolamento, il CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e i soggetti_dell'Unione trattano e scambiano i dati personali solo nella misura necessaria e al solo scopo di svolgere tali compiti o adempiere a tali obblighi.
3. Il trattamento di categorie particolari di dati personali di cui all'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 è considerato necessario per motivi di interesse pubblico rilevante a norma dell'articolo 10, paragrafo 2, lettera g), di tale regolamento. Tali dati possono essere trattati solo nella misura necessaria per l'attuazione delle misure di gestione dei rischi per la cibersicurezza di cui agli articoli 6 e 8, per la fornitura di servizi da parte del CERT-UE a norma dell'articolo 13, per la condivisione di informazioni specifiche su un incidente a norma dell'articolo 17, paragrafo 3, e dell'articolo 18, paragrafo 3, per la condivisione di informazioni a norma dell'articolo 20, per gli obblighi di segnalazione a norma dell'articolo 21, per il coordinamento della risposta e la cooperazione in caso di incidenti a norma dell'articolo 22 e per la gestione_degli_incidenti gravi a norma dell'articolo 23 del presente regolamento. I soggetti_dell'Unione e il CERT-UE, quando agiscono in qualità di titolari del trattamento, applicano misure tecniche per prevenire il trattamento di categorie particolari di dati personali per scopi diversi e prevedono misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati.
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
Articolo 18
Cooperazione tra il CERT-UE ed altri omologhi
1. Il CERT-UE può cooperare con omologhi nell'Unione diversi da quelli di cui all'articolo 17 che siano soggetti ai requisiti dell'Unione in materia di cibersicurezza, compresi omologhi di settori specifici, riguardo a strumenti e metodi, quali tecniche, tattiche, procedure e migliori pratiche, nonché minacce informatiche e vulnerabilità. Per procedere a qualsiasi cooperazione con tali omologhi, il CERT-UE chiede l'approvazione preventiva dell'IICB caso per caso. Se il CERT-UE istituisce una cooperazione con tali omologhi, ne informa gli omologhi degli Stati membri pertinenti di cui all'articolo 17, paragrafo 1, nello Stato membro in cui è situato l’omologo. Ove applicabile e opportuno, tale cooperazione e le relative condizioni, anche per quanto riguarda la cibersicurezza, la protezione dei dati e il trattamento delle informazioni, sono stabilite in specifici accordi di riservatezza, quali contratti o accordi amministrativi. Gli accordi di riservatezza non sono subordinati all’approvazione preventiva dell’IICB, ma il suo presidente ne è informato. In caso di necessità urgente e imminente di scambiare informazioni sulla cibersicurezza nell’interesse dei soggetti dell’Unione o di un’altra parte, il CERT-UE può farlo con un soggetto le cui competenze, capacità e conoscenze specifiche sono legittimamente necessarie per rispondere a tale necessità urgente e imminente, anche se il CERT-UE non dispone di un accordo di riservatezza con tale soggetto. In tali casi il CERT-UE informa immediatamente il presidente dell’IICB e riferisce all’IICB mediante relazioni o riunioni periodiche.
2. Il CERT-UE può cooperare con partner, quali i soggetti commerciali, compresi i soggetti di settori specifici, le organizzazioni internazionali, gli enti nazionali non dell’Unione o i singoli esperti, al fine di raccogliere informazioni su minacce informatiche generali e specifiche, quasi incidenti, vulnerabilità e possibili contromisure. Per procedere a una più ampia cooperazione con tali partner, il CERT-UE chiede l'approvazione preventiva dell'IICB caso per caso.
3. Con il consenso del soggetto dell'Unione interessato da un incidente e a condizione che esista un accordo o un contratto di non divulgazione con l’omologo o il partner interessato, il CERT-UE può fornire informazioni in merito all' incidente specifico agli omologhi o ai partner di cui ai paragrafi 1 e 2 unicamente al fine di contribuire alla sua analisi.
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
Articolo 19
trattamento delle informazioni
1. I soggetti_dell'Unione e il CERT-UE rispettano l'obbligo del segreto professionale ai sensi dell'articolo 339 TFUE o di equivalenti quadri normativi applicabili.
2. Alle richieste di accesso del pubblico ai documenti detenuti dal CERT-UE si applica il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (10), compreso l'obbligo, previsto da tale regolamento, di consultare altri soggetti_dell'Unione o, se del caso, altri Stati membri, qualora la domanda riguardi loro documenti.
3. Il trattamento delle informazioni da parte dei soggetti_dell'Unione e del CERT-UE si conforma alle norme applicabili sulla sicurezza delle informazioni.
Articolo 20
Accordi di condivisione delle informazioni sulla cibersicurezza
1. Su base volontaria, i soggetti_dell'Unione possono notificare e fornire informazioni al CERT-UE sugli incidenti, le minacce informatiche, i quasi incidenti e le vulnerabilità che li interessano. Il CERT-UE garantisce la disponibilità di mezzi di comunicazione efficaci, con un livello elevato di tracciabilità, riservatezza e affidabilità, per agevolare la condivisione delle informazioni con i soggetti_dell'Unione. Nel trattare le notifiche, il CERT-UE può dare la priorità al trattamento delle notifiche obbligatorie rispetto alle notifiche volontarie. Fatto salvo l'articolo 12, la notifica volontaria non deve avere l'effetto di imporre al soggetto dell'Unione che la effettua alcun obbligo aggiuntivo cui non sarebbe stato sottoposto se non avesse trasmesso la notifica.
2. Per svolgere la missione e i compiti conferitigli a norma dell'articolo 13, il CERT-UE può chiedere ai soggetti_dell'Unione di fornirgli informazioni tratte dai loro rispettivi inventari dei sistemi TIC, comprese le informazioni relative alle minacce informatiche, ai quasi incidenti, alle vulnerabilità, agli indicatori di compromissione, agli allarmi di cibersicurezza e alle raccomandazioni riguardanti la configurazione degli strumenti di cibersicurezza al fine di rilevare gli incidenti. Il soggetto dell'Unione cui è rivolta tale domanda trasmette senza indebito ritardo le informazioni richieste e ogni loro successivo aggiornamento.
3. Il CERT-UE può scambiare con i soggetti_dell'Unione informazioni specifiche su un incidente che rivelino l'identità del soggetto dell'Unione interessato dall’ incidente, a condizione che quest’ultimo vi acconsenta. Ove rifiuti il consenso, il soggetto dell'Unione fornisce al CERT-UE i motivi a sostegno di tale decisione.
4. I soggetti_dell'Unione condividono con il Parlamento europeo e il Consiglio, su richiesta, informazioni relative al completamento dei piani di cibersicurezza.
5. L'IICB o il CERT-UE, a seconda dei casi, condividono con il Parlamento europeo e il Consiglio, su richiesta, indirizzi, raccomandazioni e inviti ad agire.
6. Gli obblighi di condivisione stabiliti nel presente articolo non comprendono:
| a) | le ICUE; |
| b) | le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita. |
Articolo 26
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, il 13 dicembre 2023
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
P. NAVARRO RÍOS
(1) Posizione del Parlamento europeo del 21 novembre 2023 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio dell'8 dicembre 2023.
(2) Direttiva (EU) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).
(3) Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019, pag. 15).
(4) Accordo tra il Parlamento europeo, il Consiglio europeo, il Consiglio dell'Unione europea, la Commissione europea, la Corte di giustizia dell'Unione europea, la Banca centrale europea, la Corte dei conti europea, il Servizio europeo per l'azione esterna, il Comitato economico e sociale europeo, il Comitato europeo delle regioni e la Banca europea per gli investimenti sull'organizzazione e il funzionamento della squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell'Unione (CERT-UE) (GU C 12 del 13.1.2018, pag. 1).
(5) Regolamento (CEE, Euratom, CECA) n. 259/68 del Consiglio, del 29 febbraio 1968, che definisce lo statuto dei funzionari delle Comunità europee nonché il regime applicabile agli altri agenti di tali Comunità, ed istituisce speciali misure applicabili temporaneamente ai funzionari della Commissione (GU L 56 del 4.3.1968, pag. 1).
(6) Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36).
(7) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
(8) GU C 258 del 5.7.2022, pag. 10.
(9) Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio, del 18 luglio 2018, che stabilisce le regole finanziarie applicabili al bilancio generale dell'Unione, che modifica i regolamenti (UE) n. 1296/2013, (UE) n. 1301/2013, (UE) n. 1303/2013, (UE) n. 1304/2013, (UE) n. 1309/2013, (UE) n. 1316/2013, (UE) n. 223/2014, (UE) n. 283/2014 e la decisione n. 541/2014/UE e abroga il regolamento (UE, Euratom) n. 966/2012 (GU L 193 del 30.7.2018, pag. 1).
(10) Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).
ELI: http://data.europa.eu/eli/reg/2023/2841/oj
ISSN 1977-0707 (electronic edition)