Art. 8
Misure di gestione dei rischi per la cibersicurezza
In vigore dal 13 dic 2023
Misure di gestione dei rischi per la cibersicurezza
1. Senza indebito ritardo e comunque entro l'8 settembre 2025, ogni soggetto dell'Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello di dirigenza più elevato, per gestire i rischi per la cibersicurezza individuati nell'ambito del quadro e per prevenire o ridurre al minimo l'impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza dei sistemi informativi e di rete in tutto l'ambiente TIC commisurato ai rischi posti per la cibersicurezza. Nel valutare la proporzionalità di tali misure, è tenuto debitamente conto del grado di esposizione del soggetto dell'Unione ai rischi per la cibersicurezza, delle sue dimensioni, della probabilità che si verifichino incidenti e della loro gravità, compreso il loro impatto sociale, economico e interistituzionale.
2. Nell'attuazione delle misure di gestione dei rischi per la cibersicurezza, i soggetti dell'Unione trattano almeno gli ambiti seguenti:
a)
la politica in materia di cibersicurezza, comprese le misure necessarie per conseguire gli obiettivi e le priorità di cui all' e al paragrafo 3 del presente articolo;
b)
le politiche di analisi dei rischi per la cibersicurezza e di sicurezza dei sistemi informativi;
c)
gli obiettivi strategici relativi all'uso dei servizi di cloud computing;
d)
un audit sulla cibersicurezza, se del caso, che può includere una valutazione dei rischi per la cibersicurezza, della vulnerabilità e delle minacce informatiche, e i test di penetrazione effettuati periodicamente da un fornitore privato affidabile;
e)
l'attuazione delle raccomandazioni risultanti dagli audit sulla cibersicurezza di cui alla lettera d) mediante aggiornamenti delle politiche e della cibersicurezza;
f)
l'organizzazione della cibersicurezza, compresa la definizione di ruoli e responsabilità;
g)
la gestione delle risorse, compresi l'inventario delle risorse TIC e la cartografia della rete TIC;
h)
la sicurezza delle risorse umane e il controllo degli accessi;
i)
la sicurezza delle operazioni;
j)
la sicurezza delle comunicazioni;
k)
l'acquisizione, lo sviluppo e la manutenzione dei sistemi, comprese le politiche in materia di gestione e divulgazione delle vulnerabilità;
l)
se possibile, le politiche in materia di trasparenza del codice sorgente;
m)
la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto dell'Unione e i suoi fornitori diretti o prestatori di servizi;
n)
la gestione degli incidenti e la cooperazione con il CERT-UE, ad esempio mantenendo il controllo della sicurezza e le pratiche di registrazione;
o)
la gestione della continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e la gestione delle crisi; e
p)
la promozione e lo sviluppo di programmi di educazione, competenze, sensibilizzazione, esercizio e formazione in materia di cibersicurezza.
Ai fini del primo comma, lettera m), i soggetti dell'Unione tengono conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro.
3. I soggetti dell'Unione adottano almeno le seguenti misure specifiche di gestione dei rischi per la cibersicurezza:
a)
disposizioni tecniche per consentire e sostenere il telelavoro;
b)
provvedimenti concreti per compiere progressi verso i principi fiducia zero;
c)
l'uso dell'autenticazione a più fattori come norma in tutti i sistemi informativi e di rete;
d)
l'uso della crittografia e della cifratura, in particolare della cifratura end-to-end, e della firma elettronica sicura;
e)
se del caso, comunicazioni vocali, video e testuali sicure e sistemi di comunicazione di emergenza sicuri all'interno del soggetto dell'Unione;
f)
misure proattive per l'identificazione e la rimozione di software maligni e spyware;
g)
l'introduzione di una catena di approvvigionamento del software sicura, attraverso criteri di sviluppo e valutazione sicuri del software;
h)
l'istituzione e l'adozione di programmi di formazione sulla cibersicurezza commisurati ai compiti prescritti e alle capacità attese, per il livello di dirigenza più elevato e per i membri del personale del soggetto dell'Unione incaricati di garantire l'efficace attuazione del presente regolamento;
i)
la regolare formazione del personale in materia di cibersicurezza;
j)
se del caso, la partecipazione nelle analisi dei rischi di interconnettività tra i soggetti dell'Unione;
k)
il rafforzamento delle norme relative agli appalti, per facilitare il conseguimento di un livello comune elevato di cibersicurezza attraverso:
i)
l'eliminazione degli ostacoli contrattuali che limitano la condivisione delle informazioni sugli incidenti, le vulnerabilità e le minacce informatiche fra i prestatori di servizi TIC e il CERT-UE;
ii)
gli obblighi contrattuali di segnalare gli incidenti, le vulnerabilità e le minacce informatiche, così come di avere predisposti adeguati meccanismi di risposta e controllo in caso di incidenti.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2023:2841:oj#art-8