Art. 3
Definizioni
In vigore dal 11 mar 2024
Definizioni
Si applicano le definizioni seguenti:
1)
«asset»: un’informazione, software o hardware nei sistemi informatici e di rete, materiale o immateriale, che ha valore per un singolo, un’organizzazione o un governo;
2)
«autorità competente per la preparazione ai rischi»: l’autorità competente designata a norma dell’ del regolamento (UE) 2019/941;
3)
«team di risposta agli incidenti di sicurezza informatica»: il gruppo responsabile del trattamento dei rischi e degli incidenti conformemente all’ della direttiva (UE) 2022/2555;
4)
«asset a impatto critico»: l’asset necessario per eseguire un processo a impatto critico;
5)
«soggetto a impatto critico»: il soggetto che svolge un processo a impatto critico e è individuato dalle autorità competenti conformemente all’;
6)
«perimetro di impatto critico»: il perimetro definito da un soggetto di cui all’, paragrafo 1, che contiene tutti gli asset a impatto critico, in cui l’accesso agli asset può essere controllato e che definisce l’ambito di applicazione dei controlli avanzati di cibersicurezza;
7)
«processo a impatto critico»: il processo operativo effettuato da un soggetto per il quale gli indici di impatto sulla cibersicurezza dell’energia elettrica sono superiori alla soglia di impatto critico;
8)
«soglia di impatto critico»: i valori degli indici di impatto sulla cibersicurezza dell’energia elettrica di cui all’, paragrafo 3, lettera b), al di sopra dei quali un attacco informatico a un processo operativo causa perturbazioni critiche dei flussi transfrontalieri di energia elettrica;
9)
«prestatore di servizi TIC critici»: l’entità che fornisce un servizio TIC o un processo TIC necessari per un processo a impatto critico o ad alto impatto che incide sugli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica e che, se compromesso, può determinare un attacco informatico con un impatto superiore alla soglia di impatto critico o di alto impatto;
10)
«flusso transfrontaliero di energia elettrica»: il flusso transfrontaliero quale definito all’, punto 3), del regolamento (UE) 2019/943;
11)
«attacco informatico»: l’incidente quale definito all’, punto 14), del regolamento (UE) 2022/2554;
12)
«cibersicurezza»: la cibersicurezza quale definita all’, punto 1), del regolamento (UE) 2019/881;
13)
«controllo della cibersicurezza»: le azioni o le procedure svolte al fine di evitare, identificare, contrastare o ridurre al minimo i rischi per la cibersicurezza;
14)
«incidente di cibersicurezza»: l’incidente quale definito all’, punto 6), della direttiva (UE) 2022/2555;
15)
«sistema di gestione della cibersicurezza»: le politiche, le procedure, gli orientamenti e le risorse e attività associate, gestite collettivamente da un soggetto nell’intento di proteggere i suoi asset informatici dalle minacce informatiche, istituendo, attuando, gestendo, monitorando, riesaminando, mantenendo e migliorando sistematicamente la sicurezza dei sistemi informatici e di rete di un’organizzazione;
16)
«centro operativo per la cibersicurezza»: il centro apposito in cui una squadra tecnica composta da uno o più esperti, coadiuvata da sistemi informatici di cibersicurezza, esegue compiti connessi alla sicurezza (servizi del centro operativo per la cibersicurezza, «CSOC»), quali la gestione degli attacchi informatici e degli errori di configurazione della sicurezza, il monitoraggio della sicurezza, l’analisi dei log e l’identificazione degli attacchi informatici;
17)
«minaccia informatica»: la minaccia informatica quale definita all’, punto 8), del regolamento (UE) 2019/881;
18)
«gestione delle vulnerabilità di cibersicurezza»: la pratica di individuare e affrontare le vulnerabilità;
19)
«soggetto»: il soggetto quale definito all’, punto 38), della direttiva (UE) 2022/2555;
20)
«preallarme»: le informazioni necessarie per indicare il sospetto che l’incidente significativo sia stato causato da atti illeciti o dolosi o potrebbe avere un impatto transfrontaliero;
21)
«indice di impatto sulla cibersicurezza dell’energia elettrica» («ECII»): l’indice o la scala che classifica le possibili conseguenze degli attacchi informatici per i processi operativi connessi ai flussi transfrontalieri di energia elettrica;
22)
«sistema europeo di certificazione della cibersicurezza»: il sistema quale definito all’, punto 9), del regolamento (UE) 2019/881;
23)
«soggetto ad alto impatto»: il soggetto che svolge un processo ad alto impatto e è individuato dalle autorità competenti conformemente all’;
24)
«processo ad alto impatto»: il processo operativo effettuato da un soggetto per il quale gli indici di impatto sulla cibersicurezza dell’energia elettrica sono superiori alla soglia di alto impatto;
25)
«asset ad alto impatto»: l’asset necessario per eseguire un processo ad alto impatto;
26)
«soglia di alto impatto»: i valori degli indici di impatto sulla cibersicurezza dell’energia elettrica di cui all’, paragrafo 3, lettera b), al di sopra dei quali un attacco informatico riuscito a un processo causa gravi perturbazioni dei flussi transfrontalieri di energia elettrica;
27)
«perimetro di alto impatto»: il perimetro definito da un soggetto elencato all’, paragrafo 1, che contiene tutti gli asset ad alto impatto, nel quale l’accesso agli risorse può essere controllato e che definisce l’ambito di applicazione dei controlli minimi di cibersicurezza;
28)
«prodotto TIC»: il prodotto TIC quale definito all’, punto 12), del regolamento (UE) 2019/881;
29)
«servizio TIC»: il servizio TIC quale definito all’, punto 13), del regolamento (UE) 2019/881;
30)
«processo TIC»: il processo TIC quale definito all’, punto 14), del regolamento (UE) 2019/881;
31)
«sistema legacy»: il sistema legacy di TIC quale definito all’, punto 3), del regolamento (UE) 2022/2554;
32)
«punto di contatto unico nazionale»: il punto di contatto unico designato o istituito da ciascuno Stato membro a norma dell’, paragrafo 3, della direttiva (UE) 2022/2555;
33)
«autorità nazionali di gestione delle crisi informatiche nei sistemi informatici e di rete»: le autorità designate o istituite a norma dell’, paragrafo 1, della direttiva (UE) 2022/2555;
34)
«originatore»: il soggetto che avvia uno scambio di informazioni, una condivisione di informazioni o un’archiviazione di informazioni;
35)
«capitolato di appalto»: le specifiche che i soggetti definiscono per l’appalto di prodotti TIC, processi TIC o servizi TIC nuovi o aggiornati;
36)
«rappresentante»: la persona fisica o giuridica stabilita nell’Unione la quale è esplicitamente designata ad agire per conto di un soggetto ad impatto critico o ad alto impatto non stabilito nell’Unione ma che fornisce servizi a soggetti nell’Unione e alla quale l’autorità competente o il CSIRT può rivolgersi anziché rivolgersi al soggetto riguardo agli obblighi che a questi incombono a norma del presente regolamento;
37)
«rischio»: il rischio quale definito all’, punto 9), della direttiva (UE) 2022/2555;
38)
«matrice dell’impatto del rischio»: la matrice utilizzata durante la valutazione del rischio per determinare il livello di impatto del rischio risultante per ciascun rischio valutato;
39)
«crisi simultanea dell’energia elettrica»: la crisi dell’energia elettrica quale definita all’, punto 10), del regolamento (UE) 2019/941;
40)
«punto di contatto unico a livello di soggetto»: il punto di contatto unico a livello di soggetto designato a norma dell’, paragrafo 1, lettera c);
41)
«portatore di interessi»: la parte avente un interesse nel successo e nella continuità del funzionamento di un’organizzazione o di un processo, quali dipendenti, amministratori, azionisti, autorità di regolazione, associazioni, fornitori e clienti;
42)
«norma»: la norma quale definita all’, punto 1), del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (16);
43)
«regione di gestione del sistema»: una delle regioni di gestione del sistema quali definite nell’allegato I della decisione ACER 05-2022 sulla definizione di regioni di gestione del sistema, istituite a norma dell’ del regolamento (UE) 2019/943;
44)
«gestori di sistema»: il «gestore del sistema di distribuzione» (DSO) e il «gestore del sistema di trasmissione» (TSO) quali definiti all’, punti 29) e 35), della direttiva (UE) 2019/944;
45)
«processo a impatto critico a livello dell’Unione»: il processo del settore dell’energia elettrica, che può coinvolgere più soggetti, per il quale il possibile impatto di un attacco informatico può essere considerato critico in sede di valutazione del rischio per la cibersicurezza a livello dell’Unione;
46)
«processo ad alto impatto a livello dell’Unione»: il processo del settore dell’energia elettrica, che può coinvolgere più soggetti, per il quale il possibile impatto di un attacco informatico può essere considerato alto in sede di valutazione del rischio per la cibersicurezza a livello dell’Unione;
47)
«vulnerabilità sfruttata attivamente non risolta»: la vulnerabilità non ancora resa pubblica né ancora risolta e per la quale valide prove consentono di ritenere che un attore abbia eseguito un codice malevolo su un sistema senza l’autorizzazione del proprietario del sistema;
48)
«vulnerabilità»: la vulnerabilità quale definita all’, punto 15), della direttiva (UE) 2022/2555;
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-3