REGOLAMENTO · n. 1366
Regolamento (UE) 2024/1366
 Apri lettore completo

Art. 38

Ruolo dei soggetti ad alto impatto e a impatto critico nella condivisione delle informazioni

In vigore dal 11 mar 2024
Ruolo dei soggetti ad alto impatto e a impatto critico nella condivisione delle informazioni 1.   Il soggetto ad alto impatto e a impatto critico: a) stabilisce, per tutti gli asset all’interno del proprio perimetro di cibersicurezza determinato a norma dell’, paragrafo 4, lettera c), almeno le capacità del centro operativo per la cibersicurezza di: i) garantire che i sistemi informatici e di rete e le applicazioni forniscano registri della sicurezza per il monitoraggio della sicurezza finalizzato a consentire l’individuazione di anomalie e raccogliere informazioni sugli attacchi informatici; ii) monitorare la sicurezza, ivi compreso individuare le intrusioni e valutare le vulnerabilità dei sistemi informatici e di rete; iii) effettuare analisi e, se necessario, adottare tutte le misure necessarie sotto la propria responsabilità e secondo le proprie capacità per proteggere il soggetto; iv) partecipare alla raccolta e alla condivisione delle informazioni di cui al presente articolo. b) ha il diritto di acquisire, in tutto o in parte, le capacità di cui alla lettera a) tramite MSSP. I soggetti a impatto critico e ad alto impatto rispondono dell’operato degli MSSP e ne supervisionano l’attività; c) designa un punto di contatto unico a livello di soggetto ai fini della condivisione delle informazioni. 2.   L’ENISA può emanare orientamenti non vincolanti sull’acquisizione di tali capacità o sul subappalto del servizio agli MSSP, nell’ambito del compito definito all’, paragrafo 2, del regolamento (UE) 2019/881. 3.   Il soggetto a impatto critico e ad alto impatto condivide le informazioni rilevanti relative a un attacco informatico da segnalare con i propri CSIRT e con la propria autorità competente, senza indebito ritardo ed entro quattro ore dal momento in cui viene a conoscenza del fatto che l’incidente è da segnalare. 4.   Le informazioni relative a un attacco informatico sono considerate da segnalare quando la valutazione dell’attacco informatico eseguita dal soggetto interessato stima una criticità da «alta» a «critica», secondo la metodologia della scala di classificazione degli attacchi informatici a norma dell’, paragrafo 8. Il punto di contatto unico a livello di soggetto designato a norma del paragrafo 1, lettera c), comunica la classificazione dell’incidente. 5.   Qualora i soggetti a impatto critico e ad alto impatto notifichino informazioni rilevanti relative a vulnerabilità sfruttate attivamente non risolte a un CSIRT, quest’ultimo può trasmetterle alla propria autorità competente. Alla luce del livello di sensibilità delle informazioni notificate, il CSIRT può trattenere le informazioni o ritardarne la trasmissione sulla base di giustificati motivi connessi alla cibersicurezza. 6.   Il soggetto a impatto critico e ad alto impatto trasmette senza indebito ritardo ai propri CSIRT tutte le informazioni relative a una minaccia informatica da segnalare che possa avere un effetto transfrontaliero. Le informazioni relative a una minaccia informatica sono considerate da segnalare quando è soddisfatta almeno una delle seguenti condizioni: a) le informazioni hanno rilevanza per altri soggetti a impatto critico e ad alto impatto a fini di prevenzione, individuazione, risposta o attenuazione dell’impatto del rischio; b) le tecniche, tattiche e procedure individuate utilizzate nel contesto di un attacco conseguono informazioni quali indirizzi URL o IP compromessi, hash o qualsiasi altro attributo utile per contestualizzare e correlare l’attacco; c) una minaccia informatica può essere ulteriormente valutata e contestualizzata con informazioni aggiuntive fornite da prestatori di servizi o da terzi non soggetti al presente regolamento. 7.   All’atto della condivisione delle informazioni a norma del presente articolo, il soggetto a impatto critico e ad alto impatto specifica quanto segue: a) che le informazioni sono trasmesse a norma del presente regolamento; b) se le informazioni riguardano: i) un attacco informatico da segnalare di cui al paragrafo 3; ii) vulnerabilità sfruttate attivamente non risolte che non sono di dominio pubblico, di cui al paragrafo 4; iii) una minaccia informatica da segnalare di cui al paragrafo 5; c) nel caso di un attacco informatico da segnalare, il livello dell’attacco informatico secondo la metodologia della scala di classificazione degli attacchi informatici di cui all’, paragrafo 8, e le informazioni che determinano tale classificazione, compresa almeno la criticità dell’attacco informatico. 8.   Quando il soggetto critico o ad alto impatto notifica un incidente significativo a norma dell’ della direttiva (UE) 2022/2555 e la segnalazione dell’incidente a norma di tale articolo contiene le informazioni pertinenti di cui al paragrafo 3 del presente articolo, la segnalazione del soggetto a norma dell’, paragrafo 1, di detta direttiva costituisce una segnalazione di informazioni ai sensi del paragrafo 3 del presente articolo. 9.   Il soggetto a impatto critico e ad alto impatto riferisce alla propria autorità competente o al proprio CSIRT indicando chiaramente le informazioni specifiche che devono essere condivise esclusivamente con l’autorità competente o il CSIRT nei casi in cui la condivisione delle informazioni potrebbe essere fonte di un attacco informatico. Il soggetto a impatto critico e ad alto impatto ha il diritto di fornire una versione non riservata delle informazioni al CSIRT competente.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2024:1366:oj#art-38

Torna alla scheda dell'atto
Home
Cerca
Mie
Shop
Profilo
Ruolo dei soggetti ad alto impatto e a impatto critico nella condivisione delle informazioni (Art. 38 Regolamento (UE) 2024/1366) — Testo vigente | Portale Normativo