keyboard_tab Cyber Resilience Act 2023/2841 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 14 Indirizzi, raccomandazioni e inviti a intervenire
- 2 Art. 17 Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
CAPO I
DISPOSIZIONI GENERALI
CAPO II
MISURE PER UN LIVELLO COMUNE ELEVATO DI CIBERSICUREZZA
CAPO III
COMITATO INTERISTITUZIONALE PER LA CIBERSICUREZZA
CAPO IV
CERT-UE
CAPO V
COOPERAZIONE E OBBLIGHI DI SEGNALAZIONE
CAPO VI
DISPOSIZIONI FINALI
- soggetti dell'Unione
- sistema informativo e di rete
- sicurezza dei sistemi informativi e di rete
- cibersicurezza
- livello di dirigenza più elevato
- quasi incidente
- incidente
- incidente grave
- incidente di cibersicurezza su vasta scala
- gestione degli incidenti
- minaccia informatica
- minaccia informatica significativa
- vulnerabilità
- rischio per la cibersicurezza
- servizio di cloud computing
- unione 28
- cert-ue 22
- soggetto 19
- interessato 15
- informazioni 14
- cibersicurezza 13
- articolo 12
- incidenti 12
- incidente 12
- norma 11
- omologhi 8
- soggetti_dell 7
- pertinenti 7
- acconsente 6
- specifiche 6
- direttore 6
- identità 6
- stati 6
- direttiva 6
- membri 6
- scambia 6
- informa 5
- ritardo 5
- lettera 5
- stabilito 5
- indebito 5
- designati 4
- csirt 4
- ue / 4
- spiegazione 4
- dati 4
- rivelino 4
- caso 4
- protezione 4
- pratiche 4
- istituiti 4
- misure 4
- gestione 4
- diritto 4
- membro 4
- bersaglio 4
- altrove 4
- informatiche 4
- minacce 4
- attenuare 4
- comuni 4
- evitare 4
- termine 3
- facilitare 3
- primo 3
Articolo 17
Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
1. Il CERT-UE coopera e scambia informazioni con omologhi degli Stati membri senza indebito ritardo, in particolare con gli CSIRT designati o istituiti a norma dell'articolo 10 della direttiva (UE) 2022/2555 o, se del caso, con le autorità competenti e i punti di contatto unici designati o istituiti a norma dell'articolo 8 di tale direttiva, riguardo a incidenti, minacce informatiche, vulnerabilità, quasi incidenti, possibili contromisure e migliori pratiche e su tutte le questioni pertinenti per migliorare la protezione degli ambienti TIC dei soggetti_dell'Unione, anche mediante la rete CSIRT istituita a norma dell'articolo 15 della direttiva (UE) 2022/2555. Il CERT-UE sostiene la Commissione in seno all'EU-CyCLONe istituito a norma dell'articolo 16 della direttiva (UE) 2022/2555 in merito alla gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.
2. Quando viene a conoscenza di un incidente significativo che si verifica nel territorio di uno Stato membro, il CERT-UE informa senza indugio gli omologhi pertinenti di quello Stato membro, in conformità del paragrafo 1.
3. A condizione che i dati personali siano protetti conformemente al diritto dell'Unione applicabile in materia di protezione dei dati, il CERT-UE scambia senza indebito ritardo informazioni pertinenti specifiche su un incidente con gli omologhi degli Stati membri per facilitare il rilevamento di minacce informatiche o incidenti analoghi o per contribuire all'analisi di un incidente, senza l'autorizzazione del soggetto dell'Unione interessato. Il CERT-UE scambia informazioni specifiche su un incidente che rivelino l’identità del bersaglio dell’ incidente di cibersicurezza solo in uno dei casi seguenti:
a) | il soggetto dell'Unione interessato vi acconsente; |
b) | il soggetto dell'Unione interessato non vi acconsente come stabilito alla lettera a), ma la diffusione dell'identità del soggetto dell'Unione interessato aumenterebbe la probabilità di evitare o attenuare incidenti altrove; |
c) | il soggetto dell'Unione interessato ha già reso pubblico il proprio coinvolgimento. |
Le decisioni di scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio a norma del primo comma, lettera b), sono avallate dal direttore del CERT-UE. Prima di emettere tale decisione, il CERT-UE contatta per iscritto il soggetto dell'Unione interessato, spiegando chiaramente in che modo la divulgazione della sua identità contribuirebbe a evitare o attenuare incidenti altrove. Il direttore del CERT-UE fornisce la spiegazione e chiede esplicitamente al soggetto dell'Unione di dichiarare se acconsente entro un termine stabilito. Il direttore del CERT-UE informa inoltre il soggetto dell'Unione che, alla luce della spiegazione fornita, si riserva il diritto di divulgare le informazioni anche in assenza di consenso. Il soggetto dell'Unione interessato è informato prima che le informazioni siano divulgate.
Articolo 14
Indirizzi, raccomandazioni e inviti a intervenire
1. Il CERT-UE contribuisce all'attuazione del presente regolamento emanando:
a) | inviti a intervenire che descrivono le misure di sicurezza urgenti che i soggetti_dell'Unione sono esortati ad adottare entro un termine stabilito; |
b) | proposte all'IICB per indirizzi destinati a tutti i soggetti_dell'Unione o a una parte di essi; |
c) | proposte all'IICB per raccomandazioni destinate a singoli soggetti_dell'Unione. |
Per quanto riguarda il primo comma, lettera a), il soggetto dell'Unione interessato, senza indebito ritardo dopo aver ricevuto l'invito a intervenire, informa il CERT-UE su come ha applicato le misure di sicurezza urgenti.
2. Gli indirizzi e le raccomandazioni possono contenere:
a) | metodologie comuni e un modello per valutare la maturità della cibersicurezza dei soggetti_dell'Unione, comprese le scale o gli indicatori essenziali di prestazione corrispondenti, destinati a servire da riferimento a sostegno del miglioramento continuo della cibersicurezza in tutti i soggetti_dell'Unione e a facilitare l'assegnazione di priorità ai settori e alle misure di cibersicurezza tenendo conto della posizione di cibersicurezza dei soggetti; |
b) | modalità o miglioramenti riguardanti la gestione dei rischi per la cibersicurezza e le misure di gestione dei rischi di cibersicurezza; |
c) | modalità relative alle valutazioni di maturità della cibersicurezza e ai piani di cibersicurezza; |
d) | se del caso, disposizioni sull'utilizzo di una tecnologia, architettura, pratiche open source e relative migliori pratiche comuni allo scopo di conseguire interoperabilità e norme comuni, compreso un approccio coordinato alla sicurezza della catena di approvvigionamento; |
e) | se del caso, informazioni per agevolare l'uso di strumenti per appalti comuni volti all'acquisto presso fornitori terzi di pertinenti servizi e prodotti di cibersicurezza; |
f) | accordi di condivisione delle informazioni a norma dell'articolo 20. |
Articolo 17
Cooperazione tra il CERT-UE e gli omologhi degli Stati membri
1. Il CERT-UE coopera e scambia informazioni con omologhi degli Stati membri senza indebito ritardo, in particolare con gli CSIRT designati o istituiti a norma dell'articolo 10 della direttiva (UE) 2022/2555 o, se del caso, con le autorità competenti e i punti di contatto unici designati o istituiti a norma dell'articolo 8 di tale direttiva, riguardo a incidenti, minacce informatiche, vulnerabilità, quasi incidenti, possibili contromisure e migliori pratiche e su tutte le questioni pertinenti per migliorare la protezione degli ambienti TIC dei soggetti_dell'Unione, anche mediante la rete CSIRT istituita a norma dell'articolo 15 della direttiva (UE) 2022/2555. Il CERT-UE sostiene la Commissione in seno all'EU-CyCLONe istituito a norma dell'articolo 16 della direttiva (UE) 2022/2555 in merito alla gestione coordinata degli incidenti e delle crisi di cibersicurezza su vasta scala.
2. Quando viene a conoscenza di un incidente significativo che si verifica nel territorio di uno Stato membro, il CERT-UE informa senza indugio gli omologhi pertinenti di quello Stato membro, in conformità del paragrafo 1.
3. A condizione che i dati personali siano protetti conformemente al diritto dell'Unione applicabile in materia di protezione dei dati, il CERT-UE scambia senza indebito ritardo informazioni pertinenti specifiche su un incidente con gli omologhi degli Stati membri per facilitare il rilevamento di minacce informatiche o incidenti analoghi o per contribuire all'analisi di un incidente, senza l'autorizzazione del soggetto dell'Unione interessato. Il CERT-UE scambia informazioni specifiche su un incidente che rivelino l’identità del bersaglio dell’ incidente di cibersicurezza solo in uno dei casi seguenti:
a) | il soggetto dell'Unione interessato vi acconsente; |
b) | il soggetto dell'Unione interessato non vi acconsente come stabilito alla lettera a), ma la diffusione dell'identità del soggetto dell'Unione interessato aumenterebbe la probabilità di evitare o attenuare incidenti altrove; |
c) | il soggetto dell'Unione interessato ha già reso pubblico il proprio coinvolgimento. |
Le decisioni di scambiare informazioni specifiche su un incidente che rivelino l'identità del bersaglio a norma del primo comma, lettera b), sono avallate dal direttore del CERT-UE. Prima di emettere tale decisione, il CERT-UE contatta per iscritto il soggetto dell'Unione interessato, spiegando chiaramente in che modo la divulgazione della sua identità contribuirebbe a evitare o attenuare incidenti altrove. Il direttore del CERT-UE fornisce la spiegazione e chiede esplicitamente al soggetto dell'Unione di dichiarare se acconsente entro un termine stabilito. Il direttore del CERT-UE informa inoltre il soggetto dell'Unione che, alla luce della spiegazione fornita, si riserva il diritto di divulgare le informazioni anche in assenza di consenso. Il soggetto dell'Unione interessato è informato prima che le informazioni siano divulgate.
whereas