Art. 2
Elementi di sicurezza
In vigore dal 30 gen 2018
Elementi di sicurezza
1. La sicurezza dei sistemi e degli impianti di cui all'articolo 16, paragrafo 1, lettera a), della direttiva (UE) 2016/1148 è riferita alla sicurezza delle reti e dei sistemi informativi e del loro ambiente fisico e comprende i seguenti elementi:
a)
la gestione sistematica delle reti e dei sistemi informativi, ossia la mappatura dei sistemi informativi e la definizione di una serie di politiche adeguate in materia di gestione della sicurezza informatica, comprese l'analisi dei rischi, le risorse umane, la sicurezza delle operazioni, l'architettura di sicurezza, la gestione del ciclo di vita dei dati e dei sistemi protetti e, se del caso, la crittografia e la sua gestione;
(b)
la sicurezza fisica e dell'ambiente, ossia la disponibilità di una serie di misure volte a proteggere le reti e i sistemi informativi dei fornitori di servizi digitali dai danni attraverso il ricorso a un approccio globale ai pericoli basato sui rischi, che affronti ad esempio gli errori di sistema, gli errori umani, gli atti dolosi o i fenomeni naturali;
c)
la sicurezza delle forniture, ossia la definizione e il mantenimento di politiche adeguate al fine di assicurare l'accessibilità e, se del caso, la tracciabilità delle forniture critiche utilizzate nella prestazione dei servizi;
d)
i controlli dell'accesso alle reti e ai sistemi informativi, ossia la disponibilità di una serie di misure volte ad assicurare che l'accesso fisico e logico alle reti e ai sistemi informativi, ivi inclusa la sicurezza amministrativa di tali reti e sistemi, sia autorizzato e limitato sulla base di esigenze aziendali e di sicurezza.
2. Per quanto riguarda il trattamento degli incidenti di cui all'articolo 16, paragrafo 1, lettera b), della direttiva (UE) 2016/1148, le misure adottate dal fornitore di servizi digitali comprendono:
a)
il mantenimento e la prova di processi e procedure di individuazione per assicurare l'individuazione tempestiva e idonea degli eventi anomali;
b)
i processi e le politiche per la segnalazione degli incidenti e l'individuazione delle debolezze e vulnerabilità nei propri sistemi informativi;
c)
una risposta conforme alle procedure stabilite e la comunicazione dei risultati ottenuti con la misura adottata;
d)
la valutazione della gravità dell'incidente, la documentazione delle conoscenze acquisite grazie all'analisi dell'incidente e la raccolta di informazioni pertinenti da utilizzare eventualmente come prova e per sostenere un processo di costante miglioramento.
3. La gestione della continuità operativa di cui all'articolo 16, paragrafo 1, lettera c), della direttiva (UE) 2016/1148 è la capacità di un'organizzazione di mantenere o, se del caso, ripristinare l'erogazione di servizi a livelli predefiniti accettabili in seguito a un incidente perturbatore e comprende:
a)
la definizione e l'uso di piani di emergenza basati sull'analisi dell'impatto sulle attività aziendali volti a garantire la continuità dei servizi erogati dai fornitori di servizi digitali e valutati e testati regolarmente, ad esempio mediante esercitazioni;
b)
la capacità di ripristino di emergenza, valutata e testata regolarmente, ad esempio mediante esercitazioni.
4. Il monitoraggio, l'audit e i test di cui all'articolo 16, paragrafo 1, lettera d), della direttiva (UE) 2016/1148 comprendono la definizione e il mantenimento di politiche relative:
a)
alla conduzione di una sequenza pianificata di osservazioni o misurazioni per valutare se le reti e i sistemi informativi funzionano come previsto;
b)
all'ispezione e alla verifica per controllare se una norma o una serie di orientamenti sono applicati, se le registrazioni sono accurate e se gli obiettivi di efficienza ed efficacia sono raggiunti;
c)
a un processo finalizzato a rivelare i difetti dei meccanismi di sicurezza di una rete o di un sistema informativo che proteggono i dati e mantengono la funzionalità prevista. Tale processo comprende i processi tecnici e il personale coinvolto nel flusso di operazioni.
5. Le norme internazionali di cui all'articolo 16, paragrafo 1, lettera e), della direttiva (UE) 2016/1148 sono le norme adottate da un organismo di normazione internazionale di cui all', paragrafo 1, lettera a), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (2). Secondo l'articolo 19 della direttiva (UE) 2016/1148 possono essere utilizzate anche le norme e le specifiche europee o accettate a livello internazionale relative alla sicurezza delle reti e dei sistemi informativi, comprese le norme nazionali esistenti.
6. I fornitori di servizi digitali provvedono a rendere disponibile la documentazione adeguata per consentire all'autorità competente di verificare la conformità con gli elementi di sicurezza di cui ai paragrafi 1, 2, 3, 4 e 5.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_impl:2018:151:oj#art-2