Art. 37 · Disposizioni sulla condivisione delle informazioni

Art. 37

Disposizioni sulla condivisione delle informazioni

In vigore dal 11 mar 2024
Disposizioni sulla condivisione delle informazioni 1.   L’autorità competente che riceve informazioni relative a un attacco informatico da segnalare: a) valuta il livello di riservatezza di tali informazioni e informa il soggetto in merito all’esito della sua valutazione senza indebito ritardo e comunque entro 24 ore dal ricevimento delle informazioni; b) si adopera per reperire eventuali altri attacchi informatici analoghi nell’Unione segnalati ad altre autorità competenti, al fine di correlare le informazioni ricevute nel contesto dell’attacco informatico da segnalare con quelle fornite nel contesto di altri attacchi informatici e di arricchire le informazioni esistenti, rafforzando e coordinando le risposte alle minacce alla cibersicurezza; c) è responsabile della rimozione dei segreti commerciali e dell’anonimizzazione delle informazioni conformemente alle pertinenti disposizioni nazionali e dell’Unione; d) condivide le informazioni con i punti di contatto unici nazionali, i CSIRT e tutte le autorità competenti designate a norma dell’ in altri Stati membri, senza indebito ritardo ed entro 24 ore dalla presa di conoscenza di un attacco informatico da segnalare, e trasmette periodicamente informazioni aggiornate a dette autorità o organismi; e) diffonde le informazioni relative all’attacco informatico, previa anonimizzazione e rimozione dei segreti commerciali a norma del paragrafo 1, lettera c), ai soggetti a impatto critico e ad alto impatto nel proprio Stato membro, senza indebito ritardo ed entro 24 ore dal ricevimento delle informazioni di cui alla lettera a) e trasmette periodicamente informazioni aggiornate che consentano ai soggetti di organizzare efficacemente la propria difesa; f) possono chiedere al soggetto ad alto impatto o a impatto critico che ha riferito l’informazione su un attacco informatico da segnalare di diffonderla in modo sicuro ad altri soggetti che potrebbero esserne interessati, al fine di generare una consapevolezza situazionale nel settore dell’energia elettrica e prevenire il concretizzarsi di un rischio che potrebbe aggravarsi e diventare un incidente di cibersicurezza transfrontaliero; g) condivide con l’ENISA una relazione di sintesi, previa anonimizzazione e rimozione dei segreti commerciali, con le informazioni relative all’attacco informatico. 2.   Il CSIRT che viene a conoscenza di una vulnerabilità sfruttata attivamente non risolta: a) la condivide senza indugio con l’ENISA attraverso un adeguato canale sicuro per lo scambio di informazioni, salvo se diversamente specificato in altre normative dell’Unione; b) presta assistenza al soggetto interessato per ottenere dal fabbricante o dal prestatore una gestione efficace, coordinata e rapida della vulnerabilità sfruttata attivamente non risolta o misure di attenuazione efficaci ed efficienti; c) condivide le informazioni disponibili con il fornitore e chiede al fabbricante o al prestatore, ove possibile, di individuare un elenco di CSIRT negli Stati membri interessati dalla vulnerabilità sfruttata attivamente non risolta cui trasmettere le medesime informazioni; d) condivide le informazioni disponibili con i CSIRT individuati al punto precedente, sulla base del principio della necessità di conoscere; e) condivide, ove esistano, strategie e misure di attenuazione della vulnerabilità sfruttata attivamente non risolta oggetto della segnalazione. 3.   L’autorità competente che viene a conoscenza di una vulnerabilità sfruttata attivamente non risolta: a) condivide, ove esistano, strategie e misure di attenuazione della vulnerabilità sfruttata attivamente non risolta oggetto della segnalazione, in coordinazione con i CSIRT del proprio Stato membro; b) condivide le informazioni con un CSIRT dello Stato membro in cui è stata segnalata la vulnerabilità sfruttata attivamente non risolta. 4.   L’autorità competente che viene a conoscenza di una vulnerabilità non risolta di cui non ha motivo di ritenere che sia già stata sfruttata attivamente si coordina senza indebito ritardo con il CSIRT ai fini della divulgazione coordinata della vulnerabilità come stabilito all’, paragrafo 1, della direttiva (UE) 2022/2555. 5.   Il CSIRT che riceve informazioni relative a minacce informatiche da uno o più soggetti ad alto impatto o a impatto critico a norma dell’, paragrafo 6, diffonde tali informazioni e ogni altra informazione rilevante ai fini della prevenzione, dell’individuazione, della risposta o dell’attenuazione del relativo rischio per i soggetti a impatto critico e ad alto impatto nel suo Stato membro e, se del caso, a tutti i CSIRT interessati e al suo punto di contatto unico nazionale, senza indebito ritardo ed entro quattro ore dal ricevimento delle informazioni. 6.   L’autorità competente che viene a conoscenza di informazioni relative a minacce informatiche provenienti da uno o più soggetti ad alto impatto o a impatto critico le trasmette al CSIRT ai fini del paragrafo 5. 7.   Le autorità competenti possono delegare, in tutto o in parte, le responsabilità di cui ai paragrafi 3 e 4 per quanto riguarda uno o più soggetti ad alto impatto o a impatto critico che operano in più di uno Stato membro a un’altra autorità competente in uno di tali Stati membri, previo accordo tra le autorità competenti interessate. 8.   I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e in cooperazione con l’EU DSO, elaborano una metodologia della scala di classificazione degli attacchi informatici entro il 13 giugno 2025. I TSO, con l’assistenza dell’ENTSO per l’energia elettrica e dell’EU DSO, possono chiedere alle autorità competenti di consultare l’ENISA e le loro autorità competenti per la cibersicurezza per ricevere assistenza nell’elaborazione di tale scala di classificazione. La metodologia consente di classificare la gravità di un attacco informatico con una scala a cinque livelli, di cui i due più elevati sono «alta» e «critica». La classificazione si basa sulla valutazione dei parametri seguenti: a) l’impatto potenziale, considerando gli asset e i perimetri esposti, determinato conformemente all’, paragrafo 4, lettera c); e b) la gravità dell’attacco informatico. 9.   Entro il 13 giugno 2026, l’ENTSO per l’energia elettrica, in collaborazione con l’EU DSO, effettua uno studio di fattibilità per valutare se è possibile sviluppare, e a quali costi finanziari, uno strumento comune che consenta a tutti i soggetti di condividere le informazioni con le autorità nazionali competenti. 10.   Lo studio di fattibilità esamina la possibilità che tale strumento comune: a) sostenga i soggetti ad alto impatto e a impatto critico con informazioni attinenti alla sicurezza delle operazioni di flussi transfrontalieri di energia elettrica, quali la segnalazione quasi in tempo reale di attacchi informatici, allarmi precoci connessi alla cibersicurezza e vulnerabilità non divulgate di apparecchiature in uso nel sistema elettrico; b) sia mantenuto in un ambiente adeguato e altamente affidabile; c) consenta la raccolta di dati dai soggetti a impatto critico e ad alto impatto e faciliti la rimozione delle informazioni riservate e l’anonimizzazione dei dati e la loro rapida diffusione a soggetti a impatto critico e ad alto impatto. 11.   L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO: a) nel valutare la fattibilità consulta l’ENISA e il gruppo di cooperazione NIS, i punti di contatto unici nazionali e i rappresentanti dei principali portatori di interessi; b) presenta i risultati dello studio di fattibilità all’ACER e al gruppo di cooperazione NIS. 12.   L’ENTSO per l’energia elettrica, in cooperazione con l’EU DSO, può analizzare e agevolare le iniziative proposte da soggetti a impatto critico e ad alto impatto per valutare e sperimentare tali strumenti di condivisione di informazioni.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2024:1366:oj#art-37