Art. 9
Sistemi TIC e relativi dispositivi di sicurezza
In vigore dal 31 ott 2024
Sistemi TIC e relativi dispositivi di sicurezza
Ai fini dell’articolo 62, paragrafo 2, lettera j), del regolamento (UE) 2023/1114, i richiedenti forniscono all’autorità competente le informazioni seguenti:
a)
la documentazione tecnica dei sistemi TIC, dell’infrastruttura DLT utilizzata, se del caso, e dei dispositivi di sicurezza, compresa una descrizione dei dispositivi e delle risorse umane e TIC impiegate, elaborata per conformarsi al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (9), come segue:
i)
una descrizione del modo in cui il richiedente garantisce un quadro solido, completo e ben documentato per la gestione dei rischi relativi alle TIC nell’ambito del suo sistema generale di gestione del rischio, compresa una descrizione dettagliata dei sistemi, dei protocolli e degli strumenti TIC e del modo in cui le procedure, le politiche e i sistemi del richiedente volti a tutelare la sicurezza, l’integrità, la disponibilità, l’autenticità e la riservatezza dei dati si conformano ai regolamenti (UE) 2022/2554 e (UE) 2016/679;
ii)
l’identificazione dei servizi TIC a supporto di funzioni essenziali o importanti, sviluppati o mantenuti dal richiedente, e dei servizi TIC a supporto di funzioni essenziali o importanti prestati da prestatori di servizi terzi, una descrizione di tali accordi contrattuali (identità e ubicazione geografica dei prestatori, descrizione delle attività esternalizzate o dei servizi TIC con le loro caratteristiche principali, copia degli accordi contrattuali) e del modo in cui tali accordi sono conformi all’articolo 73 del regolamento (UE) 2023/1114 e al capo V del regolamento (UE) 2022/2554;
iii)
una descrizione delle procedure, delle politiche, dei dispositivi e dei sistemi del richiedente per la gestione della sicurezza e degli incidenti;
b)
se disponibile, una descrizione di un audit sulla cibersicurezza condotto da un revisore della cibersicurezza terzo con sufficiente esperienza conformemente al regolamento delegato della Commissione che stabilisce norme tecniche adottate a norma dell’articolo 26, paragrafo 11, quarto comma, del regolamento (UE) 2022/2554, che comprenda idealmente gli audit o i test seguenti:
i)
dispositivi lungo tutto il ciclo di vita relativi alla cibersicurezza organizzativa, alla sicurezza fisica e allo sviluppo sicuro del software;
ii)
valutazioni e scansioni delle vulnerabilità e valutazioni della sicurezza della rete;
iii)
revisioni della configurazione delle risorse TIC a supporto di funzioni essenziali e importanti quali definite all’, punto 22), del regolamento (UE) 2022/2554;
iv)
test di penetrazione sulle risorse TIC a supporto di funzioni essenziali e importanti quali definiti all’, punto 17), del regolamento (UE) 2022/2554, conformemente a tutti i metodi di prova di audit elencati di seguito:
(1)
scatola nera: il revisore non dispone di altre informazioni oltre agli indirizzi IP e agli URL associati al bersaglio sottoposto ad audit. Questa fase è generalmente preceduta dalla scoperta di informazioni e dall’identificazione del bersaglio mediante l’interrogazione dei servizi del sistema dei nomi di dominio (DNS), la scansione delle porte aperte, la scoperta della presenza di apparecchiature di filtraggio ecc.;
(2)
scatola grigia: i revisori dispongono delle conoscenze di un utente standard del sistema informatico (autenticazione legittima, postazione di lavoro «standard» ecc.). Gli identificatori possono appartenere a profili utente diversi per testare livelli di privilegio diversi;
(3)
scatola bianca: i revisori dispongono di quante più informazioni tecniche possibile (architettura, codice sorgente, contatti telefonici, identificatori ecc.) prima di avviare l’analisi, nonché dell’accesso ai contatti tecnici relativi al bersaglio;
v)
se il richiedente utilizza e/o sviluppa contratti intelligenti, un riesame dei relativi codici sorgente per la cibersicurezza;
c)
una descrizione degli audit effettuati sui sistemi TIC, se del caso, compresi l’infrastruttura DLT e i dispositivi di sicurezza utilizzati;
d)
una descrizione delle informazioni pertinenti di cui alle lettere a) e b) in linguaggio non tecnico.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2025:305:oj#art-9