keyboard_tab Cyber Resilience Act 2023/2841 IT

1.   Entro l'8 settembre 2024, il comitato interistituzionale per la cibersicurezza istituito a norma dell’articolo 10, previa consultazione dell’Agenzia dell’unione europea per la cibersicurezza (ENISA) e dopo aver ricevuto orientamenti dal CERT-UE, emana indirizzi destinati ai soggetti dell’unione per effettuare un riesame iniziale della cibersicurezza e istituire un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza a norma dell'articolo 6, svolgere valutazioni di maturità della cibersicurezza a norma dell'articolo 7, adottare misure di gestione dei rischi per la cibersicurezza a norma dell'articolo 8 e adottare il piano di cibersicurezza a norma dell'articolo 9.

2.   Nell'attuazione degli articoli da 6 a 9, i soggetti_dell'unione tengono conto degli indirizzi di cui al paragrafo 1 del presente articolo, nonché degli indirizzi e delle raccomandazioni pertinenti adottati a norma degli articoli 11 e 14.

1.   Entro l'8 aprile 2025, ogni soggetto dell'unione, dopo aver effettuato un riesame iniziale della cibersicurezza, come un audit, istituisce un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza («quadro»). L'istituzione del quadro è soggetta alla vigilanza del livello_di_dirigenza_più_elevato del soggetto dell'unione ed è sotto la sua responsabilità.

2.   Il quadro interessa la totalità dell'ambiente TIC non riservato del soggetto dell'unione interessato, compresi ogni ambiente TIC e la rete di tecnologie operative in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso a tali ambienti («ambiente TIC»). Il quadro è basato su un approccio multirischio.

3.   Il quadro garantisce un livello elevato di cibersicurezza e stabilisce le politiche interne in materia di cibersicurezza, comprensive di obiettivi e priorità, per la sicurezza delle reti e dei sistemi informativi, nonché i ruoli e le responsabilità del personale del soggetto dell'unione incaricato di garantire l'efficace attuazione del presente regolamento. Il quadro comprende anche meccanismi per misurare l'efficacia dell'attuazione.

4.   Il quadro è riesaminato periodicamente in considerazione dell'evoluzione dei rischi per la cibersicurezza e almeno ogni quattro anni. Se del caso e a seguito di una richiesta del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10, il quadro di un soggetto dell'unione può essere aggiornato sulla base degli orientamenti del CERT-UE sugli incidenti identificati o sulle eventuali lacune osservate nell'attuazione del presente regolamento.

5.   Il livello_di_dirigenza_più_elevato di ciascun soggetto dell'unione è responsabile dell'attuazione del presente regolamento e vigila sul rispetto degli obblighi relativi al quadro da parte della propria organizzazione.

6.   Se del caso e fatta salva la sua responsabilità per l'attuazione del presente regolamento, il livello_di_dirigenza_più_elevato di ciascun soggetto dell'unione può delegare obblighi specifici a norma del presente regolamento ad alti funzionari ai sensi dell'articolo 29, paragrafo 2, dello statuto dei funzionari o ad altri funzionari di livello equivalente, in seno al soggetto dell'unione interessato. Indipendentemente da tale delega, il livello di gestione più elevato può essere ritenuto responsabile delle violazioni del presente regolamento da parte del soggetto dell'unione interessato.

7.   Ogni soggetto dell'unione dispone di meccanismi efficaci per garantire che un'adeguata percentuale della dotazione di bilancio destinata alle TIC sia spesa per la cibersicurezza. Nel fissare tale percentuale è tenuto debitamente conto del quadro.

8.   Ogni soggetto dell'unione nomina un responsabile locale per la cibersicurezza o una funzione equivalente come punto di contatto unico per tutti gli aspetti della cibersicurezza. Il responsabile locale per la cibersicurezza agevola l'attuazione del presente regolamento e riferisce direttamente al livello_di_dirigenza_più_elevato a cadenza periodica in merito allo stato di attuazione. Fermo restando che il responsabile locale per la cibersicurezza è il punto di contatto unico in ciascun soggetto dell'unione, un soggetto dell'unione può delegare determinati compiti del responsabile locale per la cibersicurezza in relazione all'attuazione del presente regolamento al CERT-UE sulla base di un accordo sul livello dei servizi concluso tra tale soggetto dell'unione e il CERT-UE, oppure tali compiti possono essere condivisi tra vari soggetti_dell'unione. In caso di delega di tali compiti al CERT-UE, il comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 decide se la fornitura di tale servizio fa parte dei servizi di base del CERT-UE, tenendo conto delle risorse umane e finanziarie del soggetto dell'unione interessato. Ciascun soggetto dell'unione notifica senza indebito ritardo al CERT-UE il responsabile locale per la cibersicurezza nominato e le eventuali modifiche successive.

Il CERT-UE istituisce un elenco dei responsabili locali per la cibersicurezza nominati e lo mantiene aggiornato.

9.   Gli alti funzionari di cui all'articolo 29, paragrafo 2, dello statuto dei funzionari o gli altri funzionari di livello equivalente di ciascun soggetto dell'unione, così come tutti i membri pertinenti del personale incaricato dell'attuazione delle misure di gestione dei rischi per la cibersicurezza e dell’adempimento degli obblighi stabiliti dal presente regolamento, seguono periodicamente attività di formazione specifiche al fine di acquisire conoscenze e competenze sufficienti per comprendere e valutare i rischi per la cibersicurezza, le pratiche di gestione degli stessi e il loro impatto sulle attività del soggetto dell'unione.

1.   Entro l'8 luglio 2025 e successivamente almeno ogni due anni, ciascun soggetto dell'unione svolge una valutazione di maturità della cibersicurezza che comprende tutti gli elementi del proprio ambiente TIC.

2.   Le valutazioni di maturità della cibersicurezza sono svolte, se del caso, con l'assistenza di terzi specializzati.

3.   I soggetti_dell'unione con strutture simili possono cooperare nello svolgimento delle valutazioni di maturità della cibersicurezza per i rispettivi soggetti.

4.   Sulla base di una richiesta del comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10 e con il consenso esplicito del soggetto dell'unione interessato, i risultati di una valutazione di maturità della cibersicurezza possono essere discussi in seno a tale comitato o all'interno del gruppo informale di responsabili locali per la cibersicurezza al fine di trarre insegnamenti dalle esperienze e condividere le migliori pratiche.

1.   Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello_di_dirigenza_più_elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza_dei_sistemi_informativi_e_di_rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.

2.   Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti_dell'unione trattano almeno gli ambiti seguenti:

a)	la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all'articolo 6 e al paragrafo 3 del presente articolo;

b)	le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi;

c)	gli obiettivi strategici relativi all'uso dei servizi di cloud computing;

d)	un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile;

e)	l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza;

f)	l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità;

g)	la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;

h)	la sicurezza delle risorse umane e il controllo degli accessi;

i)	la sicurezza delle operazioni;

j)	la sicurezza delle comunicazioni;

k)	l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità;

l)	se possibile, le politiche in materia di trasparenza del codice sorgente;

m)	la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'unione e i suoi fornitori diretti o prestatori di servizi;

n)	la gestione_degli_incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione;

o)	la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e

p)	la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza.

Ai fini del primo comma, lettera m), i soggetti_dell'unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.

3.   I soggetti_dell'unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:

a)	disposizioni tecniche per consentire e sostenere il telelavoro;

b)	provvedimenti concreti per compiere progressi verso i principi fiducia zero;

c)	l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete;

d)	l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura;

e)	se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'unione;

f)	misure proattive per l'identificazione e la rimozione di software maligni e spyware;

g)	l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software;

h)	l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello_di_dirigenza_più_elevato e per i membri del personale del soggetto dell'unione incaricati di garantire l'efficace attuazione del presente regolamento;

i)	la regolare formazione del personale in materia di cibersicurezza;

j)	se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti_dell'unione;

k)

il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso: i) l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE; ii) gli obblighi contrattuali di segnalare gli incidenti, le vulnerabilità e le minacce informatiche, così come di avere predisposti adeguati meccanismi di risposta e controllo in caso di incidenti.

1.   A seguito della conclusione della valutazione di maturità della cibersicurezza svolta a norma dell'articolo 7 e considerando le risorse e i rischi per la cibersicurezza individuati nell'ambito del quadro e le misure di gestione dei rischi per la cibersicurezza adottate a norma dell'articolo 8, il livello_di_dirigenza_più_elevato di ogni soggetto dell'unione approva, senza indebito ritardo e comunque entro l'8 gennaio 2026, un piano di cibersicurezza. Il piano di cibersicurezza è volto ad aumentare la cibersicurezza complessiva del soggetto dell'unione e contribuisce così al rafforzamento di un livello comune elevato di cibersicurezza all'interno dei soggetti_dell'unione. Il piano di cibersicurezza comprende come minimo le misure di gestione dei rischi per la cibersicurezza adottate in conformità dell'articolo 8. Il piano di cibersicurezza è rivisto ogni due anni o più spesso, se necessario, a seguito delle valutazioni di maturità della cibersicurezza svolte a norma dell'articolo 7 o di un riesame sostanziale del quadro.

2.   Il piano di cibersicurezza comprende il piano di gestione delle crisi informatiche del soggetto dell'unione per gli incidenti gravi.

3.   Il soggetto dell'unione trasmette il piano di cibersicurezza completo al comitato interistituzionale per la cibersicurezza istituito a norma dell'articolo 10.

1.   È istituito un comitato interistituzionale per la cibersicurezza (IICB).

2.   L'IICB ha il compito di:

a)	controllare e sostenere l'attuazione del presente regolamento da parte dei soggetti_dell'unione;

b)	vigilare sull'attuazione delle priorità e degli obiettivi generali da parte del CERT-UE e imprimere a tale centro una direzione strategica.

3.   L'IICB è composto da:

a)

un rappresentante designato da ciascuno dei seguenti soggetti: i) il Parlamento europeo; ii) il Consiglio europeo; iii) il Consiglio dell'unione europea; iv) la Commissione; v) la Corte di giustizia dell'unione europea; vi) la Banca centrale europea; vii) la Corte dei conti; viii) il Servizio europeo per l'azione esterna; ix) il Comitato economico e sociale europeo; x) il Comitato europeo delle regioni; xi) la Banca europea per gli investimenti; xii) il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca; xiii) l'ENISA; xiv) il Garante europeo della protezione dei dati (GEPD); xv) l'Agenzia dell'unione europea per il programma spaziale;

b)	tre rappresentanti designati dalla rete delle agenzie dell'unione (EUAN) su proposta del suo comitato consultivo TIC per difendere gli interessi degli organi e degli organismi dell'unione che gestiscono il proprio ambiente TIC diversi da quelli di cui alla lettera a).

I soggetti_dell'unione rappresentati nell'IICB mirano a conseguire l'equilibrio di genere tra i rappresentanti designati.

4.   I membri dell'IICB possono farsi assistere da un supplente. Altri rappresentanti dei soggetti_dell'unione di cui al paragrafo 3 o di altri soggetti_dell'unione possono essere invitati dal presidente ad assistere alle riunioni dell'IICB senza avere diritto di voto.

5.   Il direttore del CERT-UE e i presidenti del gruppo di cooperazione, della rete di CSIRT e della rete EU-CyCLONe, istituiti, rispettivamente, a norma degli articoli 14, 15 e 16 della direttiva (UE) 2022/2555, o i loro supplenti possono partecipare alle riunioni dell'IICB in qualità di osservatori. In casi eccezionali l'IICB può decidere diversamente, conformemente al proprio regolamento interno.

6.   L'IICB adotta il proprio regolamento interno.

7.   L'IICB designa un presidente, conformemente al proprio regolamento interno, tra i suoi membri per un periodo di tre anni. Il supplente del presidente diventa membro a pieno titolo dell'IICB per la stessa durata.

8.   L'IICB si riunisce almeno tre volte all'anno su iniziativa del presidente, su richiesta del CERT-UE o su richiesta di uno dei membri.

9.   Ciascun membro dell'IICB dispone di un voto. Le decisioni dell'IICB sono adottate a maggioranza semplice, salvo ove il presente regolamento disponga diversamente. Il presidente dell'IICB non dispone di un voto, tranne in caso di parità di voti, nel qual caso può esprimere il voto decisivo.

10.   L'IICB può deliberare mediante una procedura scritta semplificata avviata conformemente al proprio regolamento interno. In base a tale procedura la pertinente decisione è considerata approvata entro il termine fissato dal presidente, salvo obiezioni da parte di uno dei membri.

11.   Le funzioni di segretariato dell'IICB sono espletate dalla Commissione e il segretariato rende conto al presidente dell'IICB.

12.   I rappresentanti nominati dall'EUAN trasmettono le decisioni dell'IICB ai membri dell'EUAN. Ogni membro dell'EUAN ha la facoltà di sottoporre a tali rappresentanti o al presidente dell'IICB ogni questione che ritenga debba essere portata all'attenzione di tale comitato.

13.   L'IICB può istituire un comitato esecutivo che lo assista nel suo lavoro e può delegare a tale comitato alcuni dei suoi compiti e poteri. L'IICB stabilisce il regolamento interno del comitato esecutivo, compresi i suoi compiti e i suoi poteri, e il mandato dei suoi membri.

14.   Entro l'8 gennaio 2025 e successivamente a cadenza annuale, l'IICB presenta al Parlamento europeo e al Consiglio una relazione che illustra i progressi compiuti nell'attuazione del presente regolamento e precisa, in particolare, la portata della cooperazione del CERT-UE con i suoi omologhi degli Stati membri in ciascuno Stato membro. La relazione costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell'unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.

1.   L'IICB, a norma dell'articolo 10, paragrafo 2, e dell'articolo 11, controlla efficacemente che i soggetti_dell'unione attuino il presente regolamento e gli indirizzi, le raccomandazioni e gli inviti a intervenire da loro adottati. L'IICB può chiedere ai soggetti_dell'unione le informazioni o la documentazione necessarie a tal fine. Ai fini dell'adozione di misure di osservanza ai sensi del presente articolo, il soggetto dell'unione interessato, se è direttamente rappresentato nell’IICB, ’non ha diritto di voto.

2.   Qualora constati che un soggetto dell'unione non ha attuato efficacemente il presente regolamento o gli indirizzi, le raccomandazioni o gli inviti a intervenire emanati in base ad esso, ferme restando le procedure interne del soggetto dell'unione interessato e dopo aver dato a quest'ultimo l'opportunità di presentare le proprie opinioni, l'IICB può:

a)	comunicare al soggetto dell'unione interessato un parere motivato sulle carenze osservate nell'attuazione del presente regolamento;

b)	previa consultazione del CERT-UE, fornire indirizzi al soggetto dell'unione interessato affinché il suo quadro, le sue misure di gestione del rischio di cibersicurezza, il suo piano di cibersicurezza e le sue relazioni si conformino al presente regolamento entro un termine specificato;

c)	emanare un avvertimento per rimediare alle carenze individuate entro un termine specificato, comprese raccomandazioni per modificare le misure adottate dal soggetto dell'unione interessato ai sensi del presente regolamento;

d)	inviare una notifica motivata al soggetto dell'unione interessato nel caso in cui entro il termine specificato non sia stato posto sufficiente rimedio alle carenze individuate in un avvertimento emanato a norma della lettera c);

e)	emanare: i) una raccomandazione per l'esecuzione di un audit; o ii) una richiesta relativa allo svolgimento di un audit a cura di un servizio di audit di terzi;

f)	se del caso, informare la Corte dei conti, nell'ambito del suo mandato, della presunta inosservanza;

g)	emanare una raccomandazione affinché tutti gli Stati membri e i soggetti_dell'unione attuino una sospensione temporanea dei flussi di dati verso il soggetto dell'unione interessato.

Ai fini del primo comma, lettera c), i destinatari dell'avvertimento sono adeguatamente circoscritti, se necessario in considerazione di un rischio per la cibersicurezza.

Gli avvertimenti e le raccomandazioni emanati ai sensi del primo comma sono indirizzati al livello_di_dirigenza_più_elevato del soggetto dell'unione interessato.

3.   Qualora l'IICB abbia adottato misure a norma del paragrafo 2, primo comma, lettere da a) a g), il soggetto dell'unione interessato fornisce dettagli delle misure e azioni adottate per ovviare alle presunte carenze individuate dall'IICB. Il soggetto dell'unione presenta tali dettagli entro un periodo di tempo ragionevole da concordare con l'IICB.

4.   Qualora l'IICB ritenga che vi sia una violazione persistente del presente regolamento da parte di un soggetto dell'unione derivante direttamente da azioni o omissioni di un funzionario o altro agente dell'unione, anche al livello_di_dirigenza_più_elevato, l'IICB chiede al soggetto dell'unione interessato di adottare misure appropriate, anche chiedendo di prendere in considerazione l'adozione di misure di natura disciplinare, conformemente alle norme e alle procedure stabilite nello statuto del personale e a qualsiasi altra norma e procedura applicabile. A tal fine, l'IICB trasferisce le informazioni necessarie al soggetto dell'unione interessato.

5.   Qualora i soggetti_dell'unione comunichino di non essere in grado di rispettare le scadenze di cui all'articolo 6, paragrafo 1, e all'articolo 8, paragrafo 1, l'IICB può, in casi debitamente motivati e tenendo conto delle dimensioni del soggetto dell'unione, autorizzarne la proroga.

1.   La missione del CERT-UE consiste nel contribuire alla sicurezza dell'ambiente TIC non riservato dei soggetti_dell'unione fornendo loro consulenza in materia di cibersicurezza, aiutandoli a prevenire, rilevare, affrontare e attenuare gli incidenti e a rispondervi e riprendersi dagli stessi, e fungendo per tali soggetti da piattaforma per lo scambio di informazioni sulla cibersicurezza e il coordinamento della risposta in caso di incidenti.

2.   Il CERT-UE raccoglie, gestisce, analizza e condivide informazioni con i soggetti_dell'unione sulle minacce informatiche, le vulnerabilità e gli incidenti riguardanti le infrastrutture TIC non riservate. Coordina le risposte agli incidenti a livello interistituzionale e a livello di soggetti_dell'unione, anche assicurando o coordinando la prestazione di assistenza operativa specializzata.

3.   Il CERT-UE svolge i seguenti compiti per assistere i soggetti_dell'unione:

a)	li assiste nell'attuazione del presente regolamento e contribuisce al coordinamento della sua attuazione tramite le misure elencate all'articolo 14, paragrafo 1, o tramite relazioni ad hoc richieste dall'IICB;

b)	offre servizi CSIRT standard per i soggetti_dell'unione attraverso un pacchetto di servizi di cibersicurezza descritti nel proprio catalogo dei servizi («servizi di base»);

c)	mantiene una rete di omologhi e partner a sostegno dei propri servizi, come indicato agli articoli 17 e 18;

d)	richiama l'attenzione dell'IICB su ogni problema relativo all'attuazione del presente regolamento e all'attuazione degli indirizzi, delle raccomandazioni e degli inviti a intervenire;

e)	sulla base delle informazioni di cui al paragrafo 2, contribuisce alla consapevolezza situazionale informatica dell'unione in stretta cooperazione con l'ENISA;

f)	coordina la gestione_degli_incidenti gravi;

g)	funge, per i soggetti_dell'unione, da equivalente del coordinatore designato ai fini della divulgazione coordinata delle vulnerabilità di cui all'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555;

h)	fornisce, su richiesta di un soggetto dell'unione, la scansione proattiva e non invasiva dei sistemi informativi e di rete accessibili al pubblico di tale soggetto dell'unione.

Le informazioni di cui al primo comma, lettera e), sono condivise con l'IICB, la rete CSIRT e il Centro UE di situazione e di intelligence (INTCEN), ove applicabile e appropriato, e sono soggette ad adeguate condizioni di riservatezza.

4.   Il CERT-UE può cooperare, conformemente all'articolo 17 o 18, a seconda dei casi, con le pertinenti comunità di cibersicurezza all'interno dell'unione e dei suoi Stati membri, anche nei settori seguenti:

a)	preparazione, coordinamento in caso di incidente, scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati ai soggetti_dell'unione;

b)	cooperazione operativa per quanto riguarda la rete CSIRT, anche per l'assistenza reciproca;

c)	intelligence relativa alle minacce informatiche, compresa la consapevolezza situazionale;

d)	ogni tematica che richieda le competenze tecniche in materia di cibersicurezza del CERT-UE.

5.   Nell'ambito delle sue competenze il CERT-UE avvia una cooperazione strutturata con l'ENISA in materia di sviluppo di capacità, cooperazione operativa e analisi strategiche a lungo termine delle minacce informatiche ai sensi del regolamento (UE) 2019/881. Il CERT-UE può cooperare e scambiare informazioni con il Centro per la lotta alla criminalità informatica di Europol.

6.   Il CERT-UE può prestare i seguenti servizi non descritti nel suo catalogo dei servizi («servizi addebitabili»):

a)

servizi a sostegno della cibersicurezza dell'ambiente TIC dei soggetti_dell'unione, diversi da quelli di cui al paragrafo 3, forniti in base ad accordi sul livello dei servizi e compatibilmente con le risorse disponibili, in particolare il controllo della rete ad ampio spettro, compreso il controllo di prima linea 24 ore al giorno, 7 giorni su 7, per le minacce informatiche di gravità elevata;

b)	servizi a sostegno di operazioni o progetti di cibersicurezza dei soggetti_dell'unione, diversi da quelli volti a proteggere il loro ambiente TIC, forniti in base ad accordi scritti e previa approvazione dell'IICB;

c)	su richiesta, una scansione proattiva dei sistemi informativi e di rete del soggetto dell'unione interessato per individuare le vulnerabilità con un potenziale impatto significativo;

d)

servizi a sostegno della sicurezza dell'ambiente TIC di organizzazioni diverse dai soggetti_dell'unione e che cooperano strettamente con tali soggetti, ad esempio perché investite di compiti o responsabilità ai sensi del diritto dell'unione, forniti in base ad accordi scritti e previa approvazione dell'IICB.

Per quanto riguarda il primo comma, lettera d), in via eccezionale il CERT-UE può stipulare accordi sul livello dei servizi con soggetti diversi da quelli dell'unione, previa approvazione dell'IICB.

7.   Il CERT-UE organizza esercitazioni di cibersicurezza e può parteciparvi o raccomandare la partecipazione alle esercitazioni esistenti, se del caso in stretta cooperazione con l'ENISA, per verificare il livello di cibersicurezza dei soggetti_dell'unione.

8.   Il CERT-UE può fornire assistenza ai soggetti_dell'unione in caso di incidenti in reti e sistemi informativi che trattano ICUE se i soggetti_dell'unione interessati lo richiedono esplicitamente in conformità delle rispettive procedure. La fornitura di assistenza da parte del CERT-UE ai sensi del presente paragrafo non pregiudica le norme applicabili in materia di protezione delle informazioni classificate.

9.   Il CERT-UE informa i soggetti_dell'unione delle sue procedure e dei suoi processi di gestione_degli_incidenti.

10.   Il CERT-UE fornisce, con un elevato livello di riservatezza e affidabilità, attraverso meccanismi di cooperazione e linee gerarchiche appropriati, informazioni pertinenti e anonimizzate sugli incidenti gravi e sul modo in cui sono stati gestiti. Tali informazioni sono inserite nella relazione di cui all’articolo 10, paragrafo 14.

11.   Il CERT-UE, in collaborazione con il GEPD, sostiene i soggetti_dell'unione interessati nei casi di incidenti che comportano violazioni di dati personali, senza pregiudicare la competenza e i compiti del GEPD in quanto autorità di controllo ai sensi del regolamento (UE) 2018/1725.

12.   Su esplicita richiesta dei dipartimenti politici dei soggetti_dell'unione, il CERT-UE può fornire consulenza tecnica o contributi tecnici su importanti questioni strategiche.

1.   Il CERT-UE contribuisce all'attuazione del presente regolamento emanando:

a)	inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti_dell'unione sono esortati ad adottare entro un termine stabilito;

b)	proposte all'IICB per indirizzi destinati a tutti i soggetti_dell'unione o a una parte di essi;

c)	proposte all'IICB per raccomandazioni destinate a singoli soggetti_dell'unione.

Per quanto riguarda il primo comma, lettera a), il soggetto dell'unione interessato, senza indebito ritardo dopo aver ricevuto l'invito a intervenire, informa il CERT-UE su come ha applicato le misure di sicurezza urgenti.

2.   Gli indirizzi e le raccomandazioni possono contenere:

a)

metodologie comuni e un modello per valutare la maturità della cibersicurezza dei soggetti_dell'unione, comprese le scale o gli indicatori essenziali di prestazione corrispondenti, destinati a servire da riferimento a sostegno del miglioramento continuo della cibersicurezza in tutti i soggetti_dell'unione e a facilitare l'assegnazione di priorità ai settori e alle misure di cibersicurezza tenendo conto della posizione di cibersicurezza dei soggetti;

b)	modalità o miglioramenti riguardanti la gestione dei rischi per la cibersicurezza e le misure di gestione dei rischi di cibersicurezza;

c)	modalità relative alle valutazioni di maturità della cibersicurezza e ai piani di cibersicurezza;

d)	se del caso, disposizioni sull'utilizzo di una tecnologia, architettura, pratiche open source e relative migliori pratiche comuni allo scopo di conseguire interoperabilità e norme comuni, compreso un approccio coordinato alla sicurezza della catena di approvvigionamento;

e)	se del caso, informazioni per agevolare l'uso di strumenti per appalti comuni volti all'acquisto presso fornitori terzi di pertinenti servizi e prodotti di cibersicurezza;

f)	accordi di condivisione delle informazioni a norma dell'articolo 20.

1.   Il CERT-UE è integrato nella struttura amministrativa di una direzione generale della Commissione al fine di beneficiare delle strutture di sostegno amministrativo, finanziario e contabile della Commissione, mantenendo nel contempo il suo status di prestatore di servizi interistituzionale autonomo per tutti i soggetti_dell'unione. La Commissione informa l'IICB in merito alla collocazione amministrativa del CERT-UE e a eventuali cambiamenti al riguardo. La Commissione riesamina le disposizioni amministrative relative al CERT-UE periodicamente e in ogni caso prima della definizione di un quadro finanziario pluriennale a norma dell'articolo 312 TFUE, al fine di consentire l'adozione di misure adeguate. Il riesame include la possibilità di istituire il CERT-UE come organismo dell'unione.

2.   Per l'applicazione delle procedure amministrative e finanziarie, il direttore del CERT-UE agisce sotto l'autorità della Commissione e sotto la supervisione dell'IICB.

3.   I compiti e le attività del CERT-UE, compresi i servizi da esso prestati ai sensi dell'articolo 13, paragrafi 3, 4, 5 e 7, e dell'articolo 14, paragrafo 1, ai soggetti_dell'unione rientranti nella rubrica del quadro finanziario pluriennale relativa alla pubblica amministrazione europea, sono finanziati tramite una linea distinta del bilancio della Commissione. I posti riservati al CERT-UE sono specificati in una nota a piè di pagina della tabella dell'organico della Commissione.

4.   I soggetti_dell'unione diversi da quelli di cui al paragrafo 3 del presente articolo forniscono un contributo finanziario annuale al CERT-UE per coprire i servizi da esso prestati ai sensi dello stesso paragrafo. I contributi sono basati su orientamenti dati dall'IICB e concordati tra ciascun soggetto dell'unione e il CERT-UE in accordi sul livello dei servizi. I contributi rappresentano una quota equa e proporzionata dei costi totali dei servizi forniti. Essi sono assegnati alla linea di bilancio distinta di cui al paragrafo 3 del presente articolo, come entrate con destinazione specifica interna ai sensi dell'articolo 21, paragrafo 3, lettera c), del regolamento (UE, Euratom) 2018/1046.

5.   I costi dei servizi di cui all'articolo 13, paragrafo 6, sono a carico dei soggetti_dell'unione che ricevono i servizi del CERT-UE. Le entrate sono destinate alle linee di bilancio che sostengono i costi.

1.   Il CERT-UE coopera e scambia informazioni con omologhi degli Stati membri senza indebito ritardo, in particolare con gli CSIRT designati o istituiti a norma dell'articolo 10 della direttiva (UE) 2022/2555 o, se del caso, con le autorità competenti e i punti di contatto unici designati o istituiti a norma dell'articolo 8 di tale direttiva, riguardo a incidenti, minacce informatiche, vulnerabilità, quasi incidenti, possibili contromisure e migliori pratiche e su tutte le questioni pertinenti per migliorare la protezione degli ambienti TIC dei soggetti_dell'unione, anche mediante la rete CSIRT istituita a norma dell'articolo 15 della direttiva (UE) 2022/2555. Il CERT-UE sostiene la Commissione in seno all'EU-CyCLONe istituito a norma dell'articolo 16 della direttiva (UE) 2022/2555 in merito alla gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.

2.   Quando viene a conoscenza di un incidente significativo che si verifica nel territorio di uno Stato membro, il CERT-UE informa senza indugio gli omologhi pertinenti di quello Stato membro, in conformità del paragrafo 1.

3.   A condizione che i dati personali siano protetti conformemente al diritto dell'unione applicabile in materia di protezione dei dati, il CERT-UE scambia senza indebito ritardo informazioni pertinenti specifiche su un incidente con gli omologhi degli Stati membri per facilitare il rilevamento di minacce informatiche o incidenti analoghi o per contribuire all'analisi di un incidente, senza l'autorizzazione del soggetto dell'unione interessato. Il CERT-UE scambia informazioni specifiche su un incidente che rivelino l’identità del bersaglio dell’ incidente di cibersicurezza solo in uno dei casi seguenti:

a)	il soggetto dell'unione interessato vi acconsente;

b)	il soggetto dell'unione interessato non vi acconsente come stabilito alla lettera a), ma la diffusione dell'identità del soggetto dell'unione interessato aumenterebbe la probabilità di evitare o attenuare incidenti altrove;

c)	il soggetto dell'unione interessato ha già reso pubblico il proprio coinvolgimento.

Le decisioni di scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio a norma del primo comma, lettera b), sono avallate dal direttore del CERT-UE. Prima di emettere tale decisione, il CERT-UE contatta per iscritto il soggetto dell'unione interessato, spiegando chiaramente in che modo la divulgazione della sua identità contribuirebbe a evitare o attenuare incidenti altrove. Il direttore del CERT-UE fornisce la spiegazione e chiede esplicitamente al soggetto dell'unione di dichiarare se acconsente entro un termine stabilito. Il direttore del CERT-UE informa inoltre il soggetto dell'unione che, alla luce della spiegazione fornita, si riserva il diritto di divulgare le informazioni anche in assenza di consenso. Il soggetto dell'unione interessato è informato prima che le informazioni siano divulgate.

1.   Il CERT-UE può cooperare con omologhi nell'unione diversi da quelli di cui all'articolo 17 che siano soggetti ai requisiti dell'unione in materia di cibersicurezza, compresi omologhi di settori specifici, riguardo a strumenti e metodi, quali tecniche, tattiche, procedure e migliori pratiche, nonché minacce informatiche e vulnerabilità. Per procedere a qualsiasi cooperazione con tali omologhi, il CERT-UE chiede l'approvazione preventiva dell'IICB caso per caso. Se il CERT-UE istituisce una cooperazione con tali omologhi, ne informa gli omologhi degli Stati membri pertinenti di cui all'articolo 17, paragrafo 1, nello Stato membro in cui è situato l’omologo. Ove applicabile e opportuno, tale cooperazione e le relative condizioni, anche per quanto riguarda la cibersicurezza, la protezione dei dati e il trattamento delle informazioni, sono stabilite in specifici accordi di riservatezza, quali contratti o accordi amministrativi. Gli accordi di riservatezza non sono subordinati all’approvazione preventiva dell’IICB, ma il suo presidente ne è informato. In caso di necessità urgente e imminente di scambiare informazioni sulla cibersicurezza nell’interesse dei soggetti dell’unione o di un’altra parte, il CERT-UE può farlo con un soggetto le cui competenze, capacità e conoscenze specifiche sono legittimamente necessarie per rispondere a tale necessità urgente e imminente, anche se il CERT-UE non dispone di un accordo di riservatezza con tale soggetto. In tali casi il CERT-UE informa immediatamente il presidente dell’IICB e riferisce all’IICB mediante relazioni o riunioni periodiche.

2.   Il CERT-UE può cooperare con partner, quali i soggetti commerciali, compresi i soggetti di settori specifici, le organizzazioni internazionali, gli enti nazionali non dell’unione o i singoli esperti, al fine di raccogliere informazioni su minacce informatiche generali e specifiche, quasi incidenti, vulnerabilità e possibili contromisure. Per procedere a una più ampia cooperazione con tali partner, il CERT-UE chiede l'approvazione preventiva dell'IICB caso per caso.

3.   Con il consenso del soggetto dell'unione interessato da un incidente e a condizione che esista un accordo o un contratto di non divulgazione con l’omologo o il partner interessato, il CERT-UE può fornire informazioni in merito all' incidente specifico agli omologhi o ai partner di cui ai paragrafi 1 e 2 unicamente al fine di contribuire alla sua analisi.

1.   I soggetti_dell'unione e il CERT-UE rispettano l'obbligo del segreto professionale ai sensi dell'articolo 339 TFUE o di equivalenti quadri normativi applicabili.

2.   Alle richieste di accesso del pubblico ai documenti detenuti dal CERT-UE si applica il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (10), compreso l'obbligo, previsto da tale regolamento, di consultare altri soggetti_dell'unione o, se del caso, altri Stati membri, qualora la domanda riguardi loro documenti.

3.   Il trattamento delle informazioni da parte dei soggetti_dell'unione e del CERT-UE si conforma alle norme applicabili sulla sicurezza delle informazioni.

1.   Su base volontaria, i soggetti_dell'unione possono notificare e fornire informazioni al CERT-UE sugli incidenti, le minacce informatiche, i quasi incidenti e le vulnerabilità che li interessano. Il CERT-UE garantisce la disponibilità di mezzi di comunicazione efficaci, con un livello elevato di tracciabilità, riservatezza e affidabilità, per agevolare la condivisione delle informazioni con i soggetti_dell'unione. Nel trattare le notifiche, il CERT-UE può dare la priorità al trattamento delle notifiche obbligatorie rispetto alle notifiche volontarie. Fatto salvo l'articolo 12, la notifica volontaria non deve avere l'effetto di imporre al soggetto dell'unione che la effettua alcun obbligo aggiuntivo cui non sarebbe stato sottoposto se non avesse trasmesso la notifica.

2.   Per svolgere la missione e i compiti conferitigli a norma dell'articolo 13, il CERT-UE può chiedere ai soggetti_dell'unione di fornirgli informazioni tratte dai loro rispettivi inventari dei sistemi TIC, comprese le informazioni relative alle minacce informatiche, ai quasi incidenti, alle vulnerabilità, agli indicatori di compromissione, agli allarmi di cibersicurezza e alle raccomandazioni riguardanti la configurazione degli strumenti di cibersicurezza al fine di rilevare gli incidenti. Il soggetto dell'unione cui è rivolta tale domanda trasmette senza indebito ritardo le informazioni richieste e ogni loro successivo aggiornamento.

3.   Il CERT-UE può scambiare con i soggetti_dell'unione informazioni specifiche su un incidente che rivelino l'identità del soggetto dell'unione interessato dall’ incidente, a condizione che quest’ultimo vi acconsenta. Ove rifiuti il consenso, il soggetto dell'unione fornisce al CERT-UE i motivi a sostegno di tale decisione.

4.   I soggetti_dell'unione condividono con il Parlamento europeo e il Consiglio, su richiesta, informazioni relative al completamento dei piani di cibersicurezza.

5.   L'IICB o il CERT-UE, a seconda dei casi, condividono con il Parlamento europeo e il Consiglio, su richiesta, indirizzi, raccomandazioni e inviti ad agire.

6.   Gli obblighi di condivisione stabiliti nel presente articolo non comprendono:

a)

le ICUE;

b)	le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita.

1.   Un incidente è considerato significativo se:

a)	ha causato o è in grado di causare una grave perturbazione operativa per il funzionamento del soggetto dell'unione interessato o perdite finanziarie per lo stesso;

b)	ha interessato o è in grado di interessare altre persone fisiche o giuridiche causando considerevoli danni materiali o immateriali.

2.   I soggetti_dell'unione presentano al CERT-UE:

a)

senza indebito ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell' incidente significativo, un preallarme che, se opportuno, indichi se l' incidente significativo è sospettato di essere il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero o che interessi diversi soggetti;

b)

senza indebito ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell' incidente significativo, una notifica di incidente che, se opportuno, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell' incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione;

c)	su richiesta del CERT-UE, una relazione intermedia sui pertinenti aggiornamenti della situazione;

d)

una relazione finale entro un mese dalla trasmissione della notifica di incidente di cui alla lettera b), che comprenda: i) una descrizione dettagliata dell' incidente, comprensiva della sua gravità e del suo impatto; ii) il tipo di minaccia o la causa di fondo che ha probabilmente innescato l' incidente; iii) le misure di attenuazione adottate e in corso; iv) se del caso, l'impatto transfrontaliero o su diversi soggetti dell' incidente;

e)	in caso di incidente in corso al momento della trasmissione della relazione finale di cui alla lettera d), una relazione sui progressi in quel momento e una relazione finale entro un mese dalla gestione dell' incidente.

3.   Un soggetto dell'unione informa gli omologhi pertinenti degli Stati membri di cui all'articolo 17, paragrafo 1, nello Stato membro in cui ha sede del fatto che si è verificato un incidente significativo, senza indebito ritardo e in ogni caso entro 24 ore dal momento in cui ne è venuto a conoscenza.

4.   I soggetti_dell'unione notificano, tra l'altro, eventuali informazioni che consentano al CERT-UE di determinare l'impatto su diversi soggetti, l'impatto sullo Stato membro ospitante o l'impatto transfrontaliero a seguito di un incidente significativo. Fatto salvo l'articolo 12, la sola notifica non espone il soggetto dell'unione a una maggiore responsabilità.

5.   Se del caso, i soggetti_dell'unione comunicano, senza indebito ritardo, agli utenti dei sistemi informativi e di rete interessati, o di altre componenti dell'ambiente TIC, che sono potenzialmente interessati da un incidente significativo o una minaccia_informatica significativa e, se del caso, che devono adottare misure di attenuazione, qualsiasi misura o azione correttiva che possano adottare in risposta a tale incidente o minaccia. Se del caso, i soggetti_dell'unione informano tali utenti della minaccia_informatica significativa stessa.

6.   Qualora un incidente significativo o una minaccia_informatica significativa interessi un sistema_informativo_e_di_rete o una componente dell'ambiente TIC di un soggetto dell'unione intenzionalmente connesso con l'ambiente TIC di un altro soggetto dell'unione, il CERT-UE emette una segnalazione di cibersicurezza.

7.   I soggetti_dell'unione, su richiesta del CERT-UE, forniscono senza indebito ritardo al CERT-UE le informazioni digitali generate dall'uso dei dispositivi elettronici coinvolti nei loro rispettivi incidenti. Il CERT-UE può fornire ulteriori dettagli sui tipi di informazioni di cui ha bisogno ai fini della consapevolezza situazionale e della risposta agli incidenti.

8.   Il CERT-UE trasmette ogni tre mesi all'IICB, all'ENISA, all'EU INTCEN e alla rete CSIRT una relazione di sintesi che comprende dati anonimizzati e aggregati su incidenti significativi, incidenti, minacce informatiche, quasi incidenti e vulnerabilità a norma dell'articolo 20 e sugli incidenti significativi notificati conformemente al paragrafo 2 del presente articolo. La relazione di sintesi costituisce un contributo alla relazione biennale sullo stato della cibersicurezza nell’unione adottata a norma dell'articolo 18 della direttiva (UE) 2022/2555.

9.   Entro l'8 luglio 2024, l'IICB emana indirizzi o raccomandazioni che precisano ulteriormente le modalità, il formato e il contenuto della segnalazione a norma del presente articolo. Nell'elaborare tali indirizzi o raccomandazioni, l'IICB tiene conto degli atti di esecuzione adottati a norma dell'articolo 23, paragrafo 11, della direttiva (UE) 2022/2555, che specificano il tipo di informazioni, il formato e la procedura di notifica. Il CERT-UE diffonde gli adeguati dettagli tecnici che consentano l'adozione di misure proattive di rilevamento, risposta agli incidenti o attenuazione da parte dei soggetti_dell'unione.

10.   Gli obblighi di segnalazione stabiliti nel presente articolo non comprendono:

a)

le ICUE;

b)	le informazioni la cui ulteriore distribuzione è stata esclusa mediante un contrassegno visibile, a meno che la loro condivisione con il CERT-UE non sia stata esplicitamente consentita.

1.   Fungendo da piattaforma per lo scambio di informazioni in materia di cibersicurezza e coordinamento della risposta in caso di incidenti, il CERT-UE facilita la circolazione delle informazioni riguardo agli incidenti, alle minacce informatiche, alle vulnerabilità e ai quasi incidenti tra:

a)	i soggetti_dell'unione;

b)	gli omologhi di cui agli articoli 17 e 18.

2.   Il CERT-UE, se del caso in stretta cooperazione con l'ENISA, facilita il coordinamento fra i soggetti_dell'unione in materia di risposta agli incidenti, anche tramite:

a)	il contributo a una comunicazione esterna coerente;

b)	il sostegno reciproco, come la condivisione di informazioni pertinenti per i soggetti_dell'unione o la fornitura di assistenza, se del caso direttamente in loco;

c)	l'uso ottimale delle risorse operative;

d)	il coordinamento con altri meccanismi di risposta alle crisi a livello dell'unione.

3.   Il CERT-UE, in stretta cooperazione con l'ENISA, sostiene i soggetti_dell'unione per quanto riguarda la consapevolezza situazionale degli incidenti, delle minacce informatiche, delle vulnerabilità e dei quasi incidenti, nonché la condivisione dei pertinenti sviluppi nel settore della cibersicurezza.

4.   Entro l'8 gennaio 2025, l'IICB, sulla base di una proposta del CERT-UE, adotta indirizzi o raccomandazioni sul coordinamento della risposta in caso di incidenti e sulla cooperazione in caso di incidenti significativi. In caso di sospetta natura penale di un incidente, il CERT-UE fornisce consulenza su come segnalare l' incidente alle autorità di contrasto senza indebito ritardo.

5.   A seguito di una richiesta specifica di uno Stato membro e con l'approvazione dei soggetti_dell'unione interessati, il CERT-UE può rivolgersi a esperti dell'elenco di cui all'articolo 23, paragrafo 4, per contribuire alla risposta a un incidente grave che ha un impatto in tale Stato membro o a un incidente di cibersicurezza su vasta scala conformemente all'articolo 15, paragrafo 3, lettera g), della direttiva (UE) 2022/2555. Le norme specifiche sull'accesso e il ricorso agli esperti tecnici dei soggetti_dell'unione sono approvate dall'IICB su proposta del CERT-UE.

1.   Al fine di sostenere a livello operativo la gestione coordinata degli incidenti gravi che interessano i soggetti_dell'unione e per contribuire allo scambio periodico di informazioni pertinenti tra i soggetti_dell'unione e con gli Stati membri, l'IICB istituisce, a norma dell'articolo 11, lettera q), un piano di gestione delle crisi informatiche basato sulle attività di cui all'articolo 22, paragrafo 2, in stretta cooperazione con il CERT-UE e l'ENISA. Il piano di gestione delle crisi informatiche comprende almeno gli elementi seguenti:

a)	disposizioni relative al coordinamento e al flusso di informazioni tra i soggetti_dell'unione per la gestione_degli_incidenti gravi a livello operativo;

b)	procedure operative standard comuni;

c)	una tassonomia comune della gravità degli incidenti gravi e dei punti di innesco delle crisi;

d)	esercitazioni periodiche;

e)	canali di comunicazione sicuri da utilizzare.

2.   Fatto salvo il piano di gestione delle crisi informatiche istituito a norma del paragrafo 1 del presente articolo e fatto salvo l'articolo 16, paragrafo 2, primo comma, della direttiva (UE) 2022/2555, il rappresentante della Commissione nell'IICB è il punto di contatto per la condivisione delle informazioni pertinenti in relazione agli incidenti gravi con EU-CyCLONe.

3.   Il CERT-UE coordina, fra i soggetti_dell'unione, la gestione_degli_incidenti gravi. Tiene un inventario delle competenze tecniche disponibili che risulterebbero necessarie per la risposta agli incidenti in caso di incidenti gravi e assiste l'IICB nel coordinare i piani di gestione delle crisi informatiche dei soggetti_dell'unione per gli incidenti gravi di cui all'articolo 9, paragrafo 2.

4.   I soggetti_dell'unione contribuiscono all'inventario delle competenze tecniche fornendo un elenco annualmente aggiornato di esperti disponibili al loro interno, che specifichi le loro capacità tecniche.

1.   Entro l'8 gennaio 2025 e successivamente con frequenza annuale, l'IICB, coadiuvato dal CERT-UE, riferisce alla Commissione in merito all'attuazione del presente regolamento. L'IICB può rivolgere raccomandazioni alla Commissione per il riesame del presente regolamento.

2.   Entro l'8 gennaio 2027 e successivamente ogni due anni, la Commissione valuta e riferisce al Parlamento europeo e al Consiglio in merito all'attuazione del presente regolamento e all'esperienza acquisita a livello strategico e operativo.

La relazione di cui al primo comma del presente paragrafo include il riesame di cui all'articolo 16, paragrafo 1, sulla possibilità di istituire il CERT-UE come ufficio dell'unione.

3.   Entro l'8 gennaio 2029, la Commissione valuta il funzionamento del presente regolamento e presenta una relazione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni. La Commissione valuta inoltre l'opportunità di includere nell'ambito di applicazione del presente regolamento le reti e i sistemi informativi che trattano ICUE, tenendo conto di altri atti legislativi dell'unione applicabili a tali sistemi. La relazione, se necessario, è corredata di una proposta legislativa.