Art. 4
Sistemi TIC e relativi dispositivi di sicurezza
In vigore dal 31 ott 2024
Sistemi TIC e relativi dispositivi di sicurezza
Ai fini dell’articolo 60, paragrafo 7, lettera c), del regolamento (UE) 2023/1114, l’ente notificante fornisce all’autorità competente le informazioni seguenti:
a)
la documentazione tecnica dei sistemi TIC, dell’infrastruttura DLT utilizzata, se del caso, e dei dispositivi di sicurezza, compresa una descrizione dei dispositivi e delle risorse umane e TIC impiegate, elaborata per conformarsi al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (8), compreso quanto segue:
i)
una descrizione del modo in cui l’ente notificante garantisce un quadro solido, completo e ben documentato per la gestione dei rischi relativi alle TIC nell’ambito del suo sistema generale di gestione del rischio, compresa una descrizione dettagliata dei sistemi, dei protocolli e degli strumenti TIC e del modo in cui le procedure, le politiche e i sistemi dell’ente notificante tuteleranno la sicurezza, l’integrità, la disponibilità, l’autenticità e la riservatezza dei dati conformemente ai regolamenti (UE) 2022/2554 e (UE) 2016/679;
ii)
l’identificazione dei servizi TIC a supporto di funzioni essenziali o importanti, sviluppati o mantenuti dall’ente notificante, nonché di quelli prestati da prestatori di servizi terzi, e una descrizione di tali accordi contrattuali e del modo in cui detti accordi sono conformi all’articolo 73 del regolamento (UE) 2023/1114 e al capo V del regolamento (UE) 2022/2554;
iii)
una descrizione delle procedure, delle politiche, dei dispositivi e dei sistemi dell’ente notificante per la gestione della sicurezza e degli incidenti;
b)
se disponibile, la descrizione di un audit sulla cibersicurezza condotto da un revisore della cibersicurezza terzo con sufficiente esperienza conformemente al regolamento delegato (UE) della Commissione che stabilisce norme tecniche a norma dell’articolo 26, paragrafo 11, quarto comma, del regolamento (UE) 2022/2554, che comprenda idealmente gli audit o i test seguenti condotti da parti esterne indipendenti:
i)
dispositivi lungo tutto il ciclo di vita relativi alla cibersicurezza organizzativa, alla sicurezza fisica e allo sviluppo sicuro del software;
ii)
valutazioni delle vulnerabilità e valutazioni della sicurezza della rete;
iii)
revisioni della configurazione delle risorse TIC a supporto di funzioni essenziali e importanti quali definite all’, punto 22), del regolamento (UE) 2022/2554;
iv)
test di penetrazione sulle risorse TIC a supporto di funzioni essenziali e importanti quali definiti all’, punto 17), del regolamento (UE) 2022/2554, conformemente a tutti i metodi di prova di audit elencati di seguito:
1)
scatola nera: il revisore non dispone di altre informazioni oltre agli indirizzi IP e agli URL associati al bersaglio sottoposto ad audit. Questa fase è generalmente preceduta dalla scoperta di informazioni e dall’identificazione del bersaglio mediante l’interrogazione dei servizi del sistema dei nomi di dominio (DNS), la scansione delle porte aperte, la scoperta della presenza di apparecchiature di filtraggio;
2)
scatola grigia: i revisori dispongono delle conoscenze di un utente standard del sistema informatico (autenticazione legittima, postazione di lavoro «standard»). Gli identificatori possono appartenere a profili utente diversi per testare livelli di privilegio diversi;
3)
scatola bianca: i revisori dispongono di quante più informazioni tecniche possibile (architettura, codice sorgente, contatti telefonici, identificatori ecc.) prima di avviare l’analisi, nonché dell’accesso ai contatti tecnici relativi al bersaglio;
v)
se l’ente notificante utilizza e/o sviluppa contratti intelligenti, un riesame dei relativi codici sorgente per la cibersicurezza;
c)
una descrizione degli audit effettuati sui sistemi TIC, se del caso, compresi l’infrastruttura DLT e i dispositivi di sicurezza utilizzati;
d)
una descrizione delle informazioni pertinenti di cui alle lettere a) e b) in linguaggio non tecnico.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2025:303:oj#art-4