REGOLAMENTO · n. 1366
Regolamento (UE) 2024/1366
 Apri lettore completo

Art. 24

Individuazione dei soggetti ad alto impatto e a impatto critico

In vigore dal 11 mar 2024
Individuazione dei soggetti ad alto impatto e a impatto critico 1.   L’autorità competente individua, utilizzando l’ECII e le soglie di alto impatto e di impatto critico inclusi nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione di cui all’, paragrafo 3, lettera b), i soggetti ad alto impatto e a impatto critico nel proprio Stato membro che sono coinvolti nei processi ad alto impatto e a impatto critico a livello dell’Unione. Le autorità competenti possono richiedere informazioni a un soggetto nel loro Stato membro per determinarne i valori ECII. Se l’ECII determinato di un soggetto è superiore alla soglia di alto impatto o di impatto critico, il soggetto individuato è elencato nella relazione di valutazione del rischio per la cibersicurezza dello Stato membro di cui all’, paragrafo 2. 2.   L’autorità competente individua, utilizzando l’ECII e le soglie di alto impatto e di impatto critico inclusi nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione di cui all’, paragrafo 3, lettera b), i soggetti ad alto impatto e a impatto critico non stabiliti nell’Unione che sono attivi nell’Unione. L’autorità competente può richiedere informazioni a un soggetto non stabilito nell’Unione per determinarne i valori ECII. 3.   L’autorità competente può individuare altri soggetti nel proprio Stato membro come soggetti ad alto impatto o a impatto critico se sono soddisfatti i seguenti criteri: a) il soggetto fa parte di un gruppo di soggetti esposti a un rischio significativo di subire simultaneamente un attacco informatico; b) l’ECII aggregato per il gruppo di soggetti è superiore alla soglia di alto impatto o di impatto critico. 4.   Se l’autorità competente individua altri soggetti conformemente al paragrafo 3, tutti i processi presso tali soggetti per i quali l’ECII aggregato del gruppo è superiore alla soglia di alto impatto sono considerati processi ad alto impatto e tutti i processi presso tali soggetti per i quali l’ECII aggregato del gruppo supera le soglie di impatto critico sono considerati processi a impatto critico. 5.   Se l’autorità competente individua soggetti di cui al paragrafo 3, lettera a), in più Stati membri, ne informa le rispettive autorità competenti, l’ENTSO per l’energia elettrica e l’EU DSO. L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, sulla base delle informazioni ricevute da tutte le autorità competenti, fornisce alle autorità competenti un’analisi dell’aggregazione di soggetti in più di uno Stato membro che può creare un disturbo distribuito ai flussi transfrontalieri di energia elettrica ed eventualmente risultare in un attacco informatico. Se un gruppo di soggetti in più Stati membri è individuato come un’aggregazione il cui ECII è superiore alla soglia di alto impatto o di impatto critico, tutte le autorità competenti interessate individuano i soggetti che vi appartengono come soggetti ad alto impatto o a impatto critico per il rispettivo Stato membro, sulla base dell’ECII aggregato per il gruppo di soggetti, e i soggetti così individuati sono elencati nella relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione. 6.   Entro nove mesi dalla notifica da parte dell’ENTSO per l’energia elettrica e dell’EU DSO della relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’, paragrafo 5, e in ogni caso entro il 13 giugno 2028, l’autorità competente notifica ai soggetti figuranti nell’elenco che sono stati individuati come soggetti ad alto impatto o a impatto critico nello Stato membro. 7.   Quando un prestatore di servizi è segnalato all’autorità competente come prestatore di servizi TIC critico a norma dell’, lettera c), l’autorità lo notifica alle autorità competenti degli Stati membri in cui ha sede il prestatore o il suo rappresentante. Quest’ultima autorità competente notifica al prestatore di servizi che è stato identificato come prestatore di servizi critici.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2024:1366:oj#art-24

Torna alla scheda dell'atto
Home
Cerca
Mie
Shop
Profilo