Art. 32
Sistema di gestione della cibersicurezza
In vigore dal 11 mar 2024
Sistema di gestione della cibersicurezza
1. Entro 24 mesi dal ricevimento della notifica dell’autorità competente che lo individua come soggetto ad alto impatto o a impatto critico a norma dell’, paragrafo 6, il soggetto ad alto impatto e a impatto critico istituisce un sistema di gestione della cibersicurezza, che successivamente riesamina ogni tre anni, al fine di:
a)
determinare l’ambito di applicazione del sistema di gestione della cibersicurezza tenendo conto delle interfacce e delle dipendenze con altri soggetti;
b)
garantire che l’integralità della sua alta dirigenza sia portata a conoscenza dei pertinenti obblighi giuridici e contribuisca attivamente all’attuazione del sistema di gestione della cibersicurezza con decisioni tempestive e reazioni rapide;
c)
garantire la disponibilità delle risorse necessarie per il sistema di gestione della cibersicurezza;
d)
istituire una politica in materia di cibersicurezza che è documentata e comunicata internamente in seno al soggetto e alle parti interessate dai rischi per la sicurezza;
e)
attribuire e comunicare le responsabilità per i ruoli attinenti alla cibersicurezza;
f)
gestire i rischi per la cibersicurezza a livello di soggetto come definito all’;
g)
determinare e fornire le risorse necessarie per l’attuazione, il mantenimento e il miglioramento continuo del sistema di gestione della cibersicurezza, tenendo conto delle necessarie competenze e della conoscenza delle risorse per la cibersicurezza;
h)
determinare la comunicazione interna ed esterna pertinente alla cibersicurezza;
i)
creare, aggiornare e controllare le informazioni documentate relative al sistema di gestione della cibersicurezza;
j)
valutare le prestazioni e l’efficacia del sistema di gestione della cibersicurezza;
k)
effettuare audit interni a intervalli pianificati per garantire che il sistema di gestione della cibersicurezza sia attuato e mantenuto in modo efficace;
l)
riesaminare l’attuazione del sistema di gestione della cibersicurezza a intervalli pianificati; controllare e correggere la non conformità delle risorse e delle attività alle politiche, alle procedure e agli orientamenti del sistema di gestione della cibersicurezza.
2. L’ambito di applicazione del sistema di gestione della cibersicurezza comprende tutti gli asset all’interno del perimetro ad alto impatto e a impatto critico del soggetto ad alto impatto e a impatto critico.
3. Le autorità competenti, evitando di imporre o discriminare l’uso di un particolare tipo di tecnologia, incoraggiano l’uso di norme e specifiche europee o internazionali relative ai sistemi di gestione e pertinenti alla sicurezza dei sistemi informatici e di rete.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-32