Art. 39
Individuazione degli attacchi informatici e trattamento delle relative informazioni
In vigore dal 11 mar 2024
Individuazione degli attacchi informatici e trattamento delle relative informazioni
1. I soggetti a impatto critico e ad alto impatto acquisiscono le capacità necessarie per gestire gli attacchi informatici individuati con il necessario sostegno della pertinente autorità competente, dell’ENTSO per l’energia elettrica e dell’EU DSO. I soggetti a impatto critico e ad alto impatto possono essere sostenuti dal CSIRT designato nei loro rispettivi Stati membri nell’ambito del compito assegnato ai CSIRT dall’, paragrafo 5, lettera a), della direttiva (UE) 2022/2555. I soggetti ad impatto critico e ad alto impatto attuano processi efficaci per individuare, classificare e dare risposta agli attacchi informatici che incideranno o potrebbero incidere sui flussi transfrontalieri di energia elettrica, al fine di ridurne al minimo l’impatto.
2. Se un attacco informatico ha un effetto sui flussi transfrontalieri di energia elettrica, i punti di contatto unici a livello dei soggetti a impatto critico e ad alto impatto interessati cooperano per condividere informazioni tra loro, coordinati dall’autorità competente dello Stato membro in cui l’attacco informatico è stato segnalato per la prima volta.
3. I soggetti a impatto critico e ad alto impatto:
a)
garantiscono che il loro punto di contatto unico a livello di soggetto abbia accesso, in base alla necessità di conoscere, alle informazioni ricevute dal punto di contatto unico nazionale tramite la rispettiva autorità competente;
b)
salvo se si sia già provveduto in tal senso a norma dell’, paragrafo 4, della direttiva (UE) 2022/2555, notificano all’autorità competente dello Stato membro in cui sono stabiliti e al punto di contatto unico nazionale un elenco dei loro punti di contatto unici per la cibersicurezza a livello di soggetto:
i)
da cui l’autorità competente e il punto di contatto unico nazionale possono aspettarsi di ricevere informazioni sugli attacchi informatici da segnalare;
ii)
a cui le autorità competenti e i punti di contatto unici nazionali possono dover trasmettere informazioni;
c)
stabiliscono procedure di gestione degli attacchi informatici, compresi i ruoli e le responsabilità, i compiti e le reazioni sulla base dell’evoluzione osservabile dell’attacco informatico all’interno dei perimetri a impatto critico e ad alto impatto;
d)
sottopongono a prova le procedure generali di gestione degli attacchi informatici almeno ogni anno sperimentando almeno uno scenario che incide direttamente o indirettamente sui flussi transfrontalieri di energia elettrica. Tale prova annuale può essere condotta da soggetti a impatto critico e ad alto impatto durante le esercitazioni periodiche di cui all’. Qualsiasi attività di risposta in tempo reale agli attacchi informatici di gravità almeno al livello 2 della scala, secondo la metodologia di classificazione degli attacchi informatici di cui all’, paragrafo 8, e derivanti da problemi di cibersicurezza, può fungere da prova annuale del piano di risposta agli attacchi informatici.
4. I compiti di cui al paragrafo 1 possono essere delegati dagli Stati membri anche ai centri di coordinamento regionali conformemente all’, paragrafo 2, del regolamento (UE) 2019/943.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-39