Art. 33
Controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento
In vigore dal 11 mar 2024
Controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento
1. Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’, paragrafo 4, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una proposta di controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento volti ad attenuare i rischi che vi sono stati individuati dalle valutazioni del rischio per la cibersicurezza a livello dell’Unione, integrando i controlli minimi e avanzati di cibersicurezza elaborati a norma dell’. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento sono elaborati insieme ai controlli minimi e avanzati di cibersicurezza a norma dell’. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento coprono l’intero ciclo di vita di tutti i prodotti TIC, servizi TIC e processi TIC all’interno dei perimetri ad alto impatto o a impatto critico del soggetto ad alto impatto o a impatto critico. Il gruppo di cooperazione NIS è consultato in sede di elaborazione della proposta di controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento.
2. I controlli minimi di cibersicurezza nella catena di approvvigionamento consistono in controlli, per i soggetti ad alto impatto e a impatto critico, che:
a)
comprendono raccomandazioni per gli appalti di prodotti TIC, servizi TIC e processi TIC con riferimento alle specifiche di cibersicurezza, riguardanti almeno:
i)
i controlli dei precedenti personali del personale del fornitore partecipante alla catena di approvvigionamento che tratta informazioni sensibili o ha accesso agli asset ad alto impatto o a impatto critico del soggetto. Il controllo dei precedenti personali può comprendere una verifica dell’identità e dei precedenti del personale o dei contraenti di un soggetto conformemente al diritto e alle procedure nazionali e al diritto dell’Unione pertinente e applicabile, compresi il regolamento (UE) 2016/679 e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (18). I controlli dei precedenti personali sono proporzionati e strettamente limitati a quanto necessario. Sono effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto. Devono essere proporzionali ai requisiti commerciali, alla classificazione delle informazioni a cui gli interessati hanno accesso e ai rischi percepiti, e possono essere effettuati dal soggetto stesso, da una società esterna che effettua uno screening o da un organismo pubblico;
ii)
i processi di progettazione, sviluppo e produzione sicuri e controllati di prodotti TIC, servizi TIC e processi TIC, che promuovono la progettazione e lo sviluppo di prodotti TIC, servizi TIC e processi TIC, comprendenti misure tecniche adeguate per garantire la cibersicurezza;
iii)
la progettazione di sistemi informatici e di rete in cui operano dispositivi non ritenuti affidabili, anche quando situati all’interno di un perimetro sicuro, che richiedono la verifica di tutte le richieste ricevute e l’applicazione del principio del privilegio minimo;
iv)
l’accesso del fornitore agli asset del soggetto;
v)
gli obblighi contrattuali del fornitore di proteggere e limitare l’accesso alle informazioni sensibili del soggetto;
vi)
il capitolato di appalto per la cibersicurezza imposto ai subcontraenti del fornitore;
vii)
la tracciabilità dell’applicazione delle specifiche di cibersicurezza dallo sviluppo alla produzione fino alla fornitura dei prodotti TIC, servizi TIC o processi TIC;
viii)
il sostegno agli aggiornamenti di sicurezza durante l’intero ciclo di vita dei prodotti TIC, servizi TIC o processi TIC;
ix)
il diritto di sottoporre ad audit la cibersicurezza nei processi di progettazione, sviluppo e produzione del fornitore; e
x)
la valutazione del profilo di rischio del fornitore;
b)
impongono a tali soggetti di tenere conto delle raccomandazioni per gli appalti di cui alla lettera a) al momento di concludere contratti con fornitori, collaboratori e altri partecipanti alla catena di approvvigionamento, riguardanti le consegne ordinarie di prodotti TIC, servizi TIC e processi TIC, nonché eventi e circostanze non previsti quali la risoluzione e la riassegnazione di contratti in caso di negligenza della parte contrattuale;
c)
impongono a tali soggetti di tenere conto dei risultati delle pertinenti valutazioni coordinate del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’, paragrafo 1, della direttiva (UE) 2022/2555;
d)
includono criteri per selezionare e appaltare fornitori in grado di soddisfare le specifiche di cibersicurezza di cui alla lettera a) e che possiedono un livello di cibersicurezza adeguato ai rischi per la cibersicurezza del prodotto TIC, del servizio TIC o dei processi TIC forniti;
e)
includono criteri per diversificare le fonti di approvvigionamento per i prodotti TIC, i servizi TIC e i processi TIC e ridurre il rischio di dipendenza da un fornitore;
f)
includono criteri per monitorare, rivedere o verificare periodicamente le specifiche di cibersicurezza per i processi operativi interni del fornitore durante l’intero ciclo di vita di ciascun prodotto TIC, servizio TIC e processo TIC.
3. Per le specifiche di cibersicurezza interessate dalla raccomandazione per gli appalti riguardo alla cibersicurezza di cui al paragrafo 2, lettera a), i soggetti ad alto impatto o a impatto critico utilizzano i principi relativi agli appalti a norma della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (19), conformemente all’, paragrafo 4, del presente regolamento, o definiscono le proprie specifiche sulla base dei risultati della valutazione del rischio per la cibersicurezza a livello di soggetto.
4. I controlli avanzati di cibersicurezza nella catena di approvvigionamento comprendono controlli per i soggetti a impatto critico destinati a verificare, durante la procedura di appalto, che i prodotti TIC, i servizi TIC e i processi TIC che saranno utilizzati come asset a impatto critico soddisfino le specifiche di cibersicurezza. Il prodotto TIC, il servizio TIC o il processo TIC è verificato mediante un sistema europeo di certificazione della cibersicurezza di cui all’ o mediante attività di verifica selezionate e organizzate dal soggetto. Il dettaglio e l’ampiezza delle attività di verifica sono sufficienti a garantire che il prodotto TIC, il servizio TIC o il processo TIC possa essere utilizzato per attenuare i rischi individuati nella valutazione del rischio a livello di soggetto. Il soggetto a impatto critico documenta le misure adottate per ridurre i rischi individuati.
5. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento si applicano agli appalti di prodotti TIC, di servizi TIC e di processi TIC. I controlli minimi e avanzati di cibersicurezza della catena di approvvigionamento si applicheranno alle procedure di appalto nei soggetti individuati come ad alto impatto e a impatto critico a norma dell’ avviate sei mesi dopo l’adozione o l’aggiornamento dei controlli minimi e avanzati di cibersicurezza di cui all’.
6. Entro 6 mesi dalla stesura della relazione di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’, paragrafo 2, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, propongono all’autorità competente una modifica dei controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento. La proposta sarà conforme all’, paragrafo 10, e terrà conto dei rischi individuati nella valutazione del rischio a livello regionale.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-33