Art. 3 · Termini e condizioni per l'applicazione dei motivi connessi alla cibersicurezza derivanti dalla natura delle informazioni comunicate

Art. 3

Termini e condizioni per l'applicazione dei motivi connessi alla cibersicurezza derivanti dalla natura delle informazioni comunicate

In vigore dal 11 dic 2025
Termini e condizioni per l'applicazione dei motivi connessi alla cibersicurezza derivanti dalla natura delle informazioni comunicate Il CSIRT che ha ricevuto per primo la notifica può decidere di ritardare, per un periodo di tempo limitato allo stretto necessario, la diffusione delle notifiche o di parti di esse ai CSIRT pertinenti nei casi in cui, alla luce della sensibilità delle informazioni notificate, i rischi di cibersicurezza posti dalla diffusione siano superiori ai benefici in termini di sicurezza e tali rischi non possano essere attenuati applicando restrizioni al trattamento o all'ulteriore condivisione della notifica attraverso protocolli adeguati, quali il protocollo del semaforo (Traffic Light Protocol, TLP) o il protocollo delle azioni consentite (Permissible Actions Protocol, PAP), e qualora sia soddisfatta almeno una delle condizioni seguenti: a) il fabbricante ha informato il CSIRT che ha ricevuto per primo la notifica che entro 72 ore è prevista la messa a disposizione di una misura efficace di attenuazione dei rischi, come un aggiornamento di sicurezza o orientamenti per gli utilizzatori; se entro tale termine non è messa a disposizione una misura efficace di attenuazione dei rischi, il CSIRT che ha ricevuto per primo la notifica la diffonde ai CSIRT pertinenti; b) le informazioni comprese nella notifica sono ritenute sufficienti, alla luce della natura della vulnerabilità attivamente sfruttata notificata, per creare una tecnica di sfruttamento, in particolare quando la vulnerabilità può essere facilmente individuata e sfruttata da soggetti con competenze e risorse limitate; una volta disponibile una misura efficace di attenuazione dei rischi, come un aggiornamento di sicurezza o orientamenti per gli utilizzatori, il CSIRT che ha ricevuto per primo la notifica la diffonde ai CSIRT pertinenti; c) il CSIRT che ha ricevuto per primo la notifica è in grado di condividere con i CSIRT pertinenti informazioni sufficienti a garantire che questi ultimi possano mettere in atto adeguate misure di attenuazione dei rischi; una volta disponibile una misura efficace di attenuazione dei rischi, come un aggiornamento di sicurezza o orientamenti per gli utilizzatori, il CSIRT che ha ricevuto per primo la notifica diffonde la notifica completa ai CSIRT pertinenti; d) il CSIRT che ha ricevuto per primo la notifica della vulnerabilità attivamente sfruttata ne è stato informato nell'ambito di una divulgazione coordinata delle vulnerabilità per la quale tale CSIRT agisce in qualità di intermediario di fiducia a norma dell'articolo 12, paragrafo 1, della direttiva (UE) 2022/2555; in tal caso, e conformemente all'articolo 16, paragrafo 6, del regolamento (UE) 2024/2847, il CSIRT che ha ricevuto per primo la notifica la diffonde ai CSIRT pertinenti quando ritardarne la diffusione non è più strettamente necessario ed è stato dato il consenso alla divulgazione dalle parti coinvolte nella divulgazione coordinata delle vulnerabilità.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2026:881:oj#art-3