Art. 26
Gestione del rischio per la cibersicurezza a livello di soggetto
In vigore dal 11 mar 2024
Gestione del rischio per la cibersicurezza a livello di soggetto
1. Il soggetto ad alto impatto e a impatto critico individuato dalle autorità competenti a norma dell’, paragrafo 1, gestisce il rischio per la cibersicurezza di tutti gli asset nei suoi perimetri ad alto impatto e a impatto critico. Il soggetto ad alto impatto e a impatto critico effettua ogni tre anni la gestione del rischio secondo le fasi di cui al paragrafo 2.
2. Il soggetto ad alto impatto e a impatto critico fonda la propria gestione del rischio per la cibersicurezza su un approccio che mira a proteggere i propri sistemi informatici e di rete e comprende le seguenti fasi:
a)
definizione del contesto;
b)
valutazione del rischio per la cibersicurezza a livello di soggetto;
c)
trattamento del rischio per la cibersicurezza;
d)
accettazione del rischio per la cibersicurezza.
3. Durante la fase di definizione del contesto, il soggetto ad alto impatto e a impatto critico:
a)
definisce l’ambito di applicazione della valutazione del rischio per la cibersicurezza, compresi i processi ad alto impatto e a impatto critico individuati dall’ENTSO per l’energia elettrica e dall’EU DSO e altri processi suscettibili di subire attacchi informatici ad alto impatto o a impatto critico sui flussi transfrontalieri di energia elettrica; e
b)
definisce i criteri per la valutazione e l’accettazione del rischio conformemente alla matrice di impatto del rischio che i soggetti e le autorità competenti utilizzano nelle metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro elaborate dall’ENTSO per l’energia elettrica e dall’EU DSO conformemente all’, paragrafo 2.
4. Durante la fase di valutazione del rischio per la cibersicurezza il soggetto ad alto impatto e a impatto critico:
a)
individua i rischi per la cibersicurezza tenendo conto:
i)
di tutti gli asset che intervengono nei processi ad alto impatto e a impatto critico a livello dell’Unione, con una valutazione del possibile impatto sui flussi transfrontalieri di energia elettrica in caso di compromissione dell’asset;
ii)
delle possibili minacce informatiche considerando quelle individuate nell’ultima relazione di valutazione globale del rischio per la cibersicurezza transfrontaliera dell’energia elettrica di cui all’ e delle minacce alla catena di approvvigionamento;
iii)
delle vulnerabilità, comprese le vulnerabilità nei sistemi legacy;
iv)
dei possibili scenari di attacco informatico, compresi gli attacchi informatici che incidono sulla sicurezza operativa del sistema elettrico e interrompono i flussi transfrontalieri di energia elettrica;
v)
delle pertinenti valutazioni del rischio effettuate a livello dell’Unione, comprese le valutazioni coordinate del rischio per le catene di approvvigionamento critiche conformemente all’ della direttiva (UE) 2022/2555, e
vi)
dei controlli già attuati;
b)
analizza la probabilità e le conseguenze dei rischi per la cibersicurezza individuati alla lettera a) e determina il livello del rischio per la cibersicurezza mediante la matrice di impatto utilizzata nelle metodologie di valutazione del rischio per la cibersicurezza a livello dell’Unione, a livello regionale e a livello di Stato membro elaborate dai TSO con l’assistenza dell’ENTSO per l’energia elettrica e in collaborazione con l’EU DSO conformemente all’, paragrafo 2;
c)
classifica gli asset in base alle possibili conseguenze della compromissione della cibersicurezza e determina il perimetro ad alto impatto e a impatto critico procedendo come segue:
i)
valuta, per tutti i processi oggetto della valutazione del rischio per la cibersicurezza, l’impatto operativo mediante l’ECII;
ii)
classifica un processo come ad alto impatto critico o a impatto critico se il suo ECII supera le rispettive soglie;
iii)
determina tutti gli asset ad alto impatto e a impatto critico necessari per i rispettivi processi;
iv)
definisce i perimetri ad alto impatto e a impatto critico contenenti, rispettivamente, tutti gli asset ad alto impatto e a impatto critico, in modo da poterne controllare l’accesso;
d)
valuta il grado di priorità dei rischi per la cibersicurezza in base ai criteri di valutazione e di accettazione di cui al paragrafo 3, lettera b).
5. Durante la fase di trattamento del rischio per la cibersicurezza il soggetto ad alto impatto e a impatto critico stabilisce un piano di attenuazione dei rischi a livello di soggetto selezionando opzioni di trattamento del rischio adeguate per gestire i rischi e individuare quelli residui.
6. Durante la fase di accettazione del rischio per la cibersicurezza, il soggetto ad alto impatto e a impatto critico decide se accettare il rischio residuo sulla base dei criteri di accettazione di cui al paragrafo 3, lettera b).
7. Il soggetto ad alto impatto e a impatto critico registra in un inventario gli asset individuati al paragrafo 1. L’inventario di asset non fa parte della relazione di valutazione del rischio.
8. L’autorità competente può ispezionare gli asset dell’inventario durante le ispezioni.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-26