Art. 33 · Controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento

Art. 33

Controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento

In vigore dal 11 mar 2024
Controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento 1.   Entro 7 mesi dalla presentazione del primo progetto di relazione di valutazione del rischio per la cibersicurezza a livello dell’Unione a norma dell’, paragrafo 4, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una proposta di controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento volti ad attenuare i rischi che vi sono stati individuati dalle valutazioni del rischio per la cibersicurezza a livello dell’Unione, integrando i controlli minimi e avanzati di cibersicurezza elaborati a norma dell’. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento sono elaborati insieme ai controlli minimi e avanzati di cibersicurezza a norma dell’. I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento coprono l’intero ciclo di vita di tutti i prodotti TIC, servizi TIC e processi TIC all’interno dei perimetri ad alto impatto o a impatto critico del soggetto ad alto impatto o a impatto critico. Il gruppo di cooperazione NIS è consultato in sede di elaborazione della proposta di controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento. 2.   I controlli minimi di cibersicurezza nella catena di approvvigionamento consistono in controlli, per i soggetti ad alto impatto e a impatto critico, che: a) comprendono raccomandazioni per gli appalti di prodotti TIC, servizi TIC e processi TIC con riferimento alle specifiche di cibersicurezza, riguardanti almeno: i) i controlli dei precedenti personali del personale del fornitore partecipante alla catena di approvvigionamento che tratta informazioni sensibili o ha accesso agli asset ad alto impatto o a impatto critico del soggetto. Il controllo dei precedenti personali può comprendere una verifica dell’identità e dei precedenti del personale o dei contraenti di un soggetto conformemente al diritto e alle procedure nazionali e al diritto dell’Unione pertinente e applicabile, compresi il regolamento (UE) 2016/679 e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (18). I controlli dei precedenti personali sono proporzionati e strettamente limitati a quanto necessario. Sono effettuati al solo scopo di valutare un potenziale rischio per la sicurezza del soggetto. Devono essere proporzionali ai requisiti commerciali, alla classificazione delle informazioni a cui gli interessati hanno accesso e ai rischi percepiti, e possono essere effettuati dal soggetto stesso, da una società esterna che effettua uno screening o da un organismo pubblico; ii) i processi di progettazione, sviluppo e produzione sicuri e controllati di prodotti TIC, servizi TIC e processi TIC, che promuovono la progettazione e lo sviluppo di prodotti TIC, servizi TIC e processi TIC, comprendenti misure tecniche adeguate per garantire la cibersicurezza; iii) la progettazione di sistemi informatici e di rete in cui operano dispositivi non ritenuti affidabili, anche quando situati all’interno di un perimetro sicuro, che richiedono la verifica di tutte le richieste ricevute e l’applicazione del principio del privilegio minimo; iv) l’accesso del fornitore agli asset del soggetto; v) gli obblighi contrattuali del fornitore di proteggere e limitare l’accesso alle informazioni sensibili del soggetto; vi) il capitolato di appalto per la cibersicurezza imposto ai subcontraenti del fornitore; vii) la tracciabilità dell’applicazione delle specifiche di cibersicurezza dallo sviluppo alla produzione fino alla fornitura dei prodotti TIC, servizi TIC o processi TIC; viii) il sostegno agli aggiornamenti di sicurezza durante l’intero ciclo di vita dei prodotti TIC, servizi TIC o processi TIC; ix) il diritto di sottoporre ad audit la cibersicurezza nei processi di progettazione, sviluppo e produzione del fornitore; e x) la valutazione del profilo di rischio del fornitore; b) impongono a tali soggetti di tenere conto delle raccomandazioni per gli appalti di cui alla lettera a) al momento di concludere contratti con fornitori, collaboratori e altri partecipanti alla catena di approvvigionamento, riguardanti le consegne ordinarie di prodotti TIC, servizi TIC e processi TIC, nonché eventi e circostanze non previsti quali la risoluzione e la riassegnazione di contratti in caso di negligenza della parte contrattuale; c) impongono a tali soggetti di tenere conto dei risultati delle pertinenti valutazioni coordinate del rischio per la sicurezza delle catene di approvvigionamento critiche effettuate a norma dell’, paragrafo 1, della direttiva (UE) 2022/2555; d) includono criteri per selezionare e appaltare fornitori in grado di soddisfare le specifiche di cibersicurezza di cui alla lettera a) e che possiedono un livello di cibersicurezza adeguato ai rischi per la cibersicurezza del prodotto TIC, del servizio TIC o dei processi TIC forniti; e) includono criteri per diversificare le fonti di approvvigionamento per i prodotti TIC, i servizi TIC e i processi TIC e ridurre il rischio di dipendenza da un fornitore; f) includono criteri per monitorare, rivedere o verificare periodicamente le specifiche di cibersicurezza per i processi operativi interni del fornitore durante l’intero ciclo di vita di ciascun prodotto TIC, servizio TIC e processo TIC. 3.   Per le specifiche di cibersicurezza interessate dalla raccomandazione per gli appalti riguardo alla cibersicurezza di cui al paragrafo 2, lettera a), i soggetti ad alto impatto o a impatto critico utilizzano i principi relativi agli appalti a norma della direttiva 2014/24/UE del Parlamento europeo e del Consiglio (19), conformemente all’, paragrafo 4, del presente regolamento, o definiscono le proprie specifiche sulla base dei risultati della valutazione del rischio per la cibersicurezza a livello di soggetto. 4.   I controlli avanzati di cibersicurezza nella catena di approvvigionamento comprendono controlli per i soggetti a impatto critico destinati a verificare, durante la procedura di appalto, che i prodotti TIC, i servizi TIC e i processi TIC che saranno utilizzati come asset a impatto critico soddisfino le specifiche di cibersicurezza. Il prodotto TIC, il servizio TIC o il processo TIC è verificato mediante un sistema europeo di certificazione della cibersicurezza di cui all’ o mediante attività di verifica selezionate e organizzate dal soggetto. Il dettaglio e l’ampiezza delle attività di verifica sono sufficienti a garantire che il prodotto TIC, il servizio TIC o il processo TIC possa essere utilizzato per attenuare i rischi individuati nella valutazione del rischio a livello di soggetto. Il soggetto a impatto critico documenta le misure adottate per ridurre i rischi individuati. 5.   I controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento si applicano agli appalti di prodotti TIC, di servizi TIC e di processi TIC. I controlli minimi e avanzati di cibersicurezza della catena di approvvigionamento si applicheranno alle procedure di appalto nei soggetti individuati come ad alto impatto e a impatto critico a norma dell’ avviate sei mesi dopo l’adozione o l’aggiornamento dei controlli minimi e avanzati di cibersicurezza di cui all’. 6.   Entro 6 mesi dalla stesura della relazione di valutazione del rischio per la cibersicurezza a livello regionale a norma dell’, paragrafo 2, i TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, propongono all’autorità competente una modifica dei controlli minimi e avanzati di cibersicurezza nella catena di approvvigionamento. La proposta sarà conforme all’, paragrafo 10, e terrà conto dei rischi individuati nella valutazione del rischio a livello regionale.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2024:1366:oj#art-33