Regolamento d’Esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024 recante modalità di applicazione della Direttiva (UE) 2022/2555.

Giustizia istockphoto 104383981 612x612

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea,

vista la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (1), in particolare l’articolo 21, paragrafo 5, primo comma, e l’articolo 23, paragrafo 11, secondo comma,

considerando quanto segue:

(1)Per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari di cui all’articolo 3 della direttiva (UE) 2022/2555 (i soggetti pertinenti), il presente regolamento mira a stabilire i requisiti tecnici e metodologici delle misure di cui all’articolo 21, paragrafo 2, della suddetta direttiva e a specificare ulteriormente i casi in cui un incidente dovrebbe essere considerato significativo a norma dell’articolo 23, paragrafo 3, della medesima.

(2)Tenendo conto della natura transfrontaliera delle loro attività e al fine di assicurare un quadro coerente per i prestatori di servizi fiduciari, per tali prestatori il presente regolamento dovrebbe specificare ulteriormente i casi in cui un incidente deve essere considerato significativo, oltre a stabilire i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza.

(3)A norma dell’articolo 21, paragrafo 5, terzo comma, della direttiva (UE) 2022/2555, i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento si basano su norme europee e internazionali, quali ISO/IEC 27001, ISO/IEC 27002 ed ETSI EN 319401, e su specifiche tecniche, quali CEN/TS 18026:2024, pertinenti per la sicurezza dei sistemi informativi e di rete.

(4)Per quanto concerne l’attuazione e l’applicazione dei requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento, in linea con il principio di proporzionalità, nel conformarsi a tali requisiti tecnici e metodologici è opportuno tenere debitamente conto dell’esposizione al rischio divergente dei soggetti pertinenti, quali la criticità del soggetto pertinente, i rischi cui è esposto, le dimensioni e la struttura del soggetto pertinente, nonché la probabilità che si verifichino incidenti e la loro gravità, compreso il loro impatto sociale ed economico.

(5)In linea con il principio di proporzionalità, qualora non possano attuare alcuni dei requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza in ragione delle loro dimensioni, i soggetti pertinenti dovrebbero poter adottare altre misure compensative idonee a conseguire la finalità di tali requisiti. Ad esempio, nel definire i ruoli, le responsabilità e le autorità per la sicurezza delle reti e dei sistemi informativi all’interno del soggetto pertinente, i microsoggetti potrebbero avere difficoltà a separare funzioni e settori di responsabilità contrastanti. Tali soggetti dovrebbero poter prendere in considerazione misure compensative quali una sorveglianza mirata da parte della dirigenza del soggetto in questione o un aumento delle attività di monitoraggio e registrazione.

(6)Alcuni requisiti tecnici e metodologici stabiliti nell’allegato del presente regolamento dovrebbero essere applicati ai soggetti pertinenti se opportuno, se applicabile o nella misura del possibile. Qualora ritenga che l’applicazione di determinati requisiti tecnici e metodologici di cui all’allegato del presente regolamento non sia opportuna, applicabile o possibile, un soggetto pertinente dovrebbe documentare in modo comprensibile le ragioni di tale decisione. Nell’esercizio delle funzioni di vigilanza le autorità nazionali competenti possono tenere conto del tempo necessario affinché i soggetti pertinenti attuino i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza.

(7)L’Agenzia dell’Unione europea per la cibersicurezza (ENISA) o le autorità nazionali competenti a norma della direttiva (UE) 2022/2555 possono fornire orientamenti al fine di sostenere i soggetti pertinenti nell’individuazione, nell’analisi e nella valutazione dei rischi ai fini dell’attuazione dei requisiti tecnici e metodologici relativi all’istituzione e al mantenimento di un quadro adeguato per la gestione dei rischi. Tra tali orientamenti possono figurare, in particolare, valutazioni dei rischi nazionali e settoriali, nonché valutazioni dei rischi specifiche per un determinato tipo di soggetto. Tali orientamenti possono comprendere altresì strumenti o modelli per lo sviluppo di un quadro per la gestione dei rischi a livello dei soggetti pertinenti. Anche i quadri, gli orientamenti o altri meccanismi previsti dal diritto nazionale degli Stati membri, nonché le pertinenti norme europee e internazionali, possono aiutare i soggetti pertinenti a dimostrare la propria conformità al presente regolamento. L’ENISA o le autorità nazionali competenti a norma della direttiva (UE) 2022/2555 possono inoltre sostenere i soggetti pertinenti nell’individuazione e nell’attuazione di soluzioni adeguate per trattare i rischi individuati nel contesto di tali valutazioni dei rischi. Tali orientamenti dovrebbero lasciare impregiudicati gli obblighi per i soggetti pertinenti di individuare e documentare i rischi posti alla sicurezza dei sistemi informativi e di rete e di attuare i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento in funzione delle loro esigenze e risorse.

(8)Le misure di sicurezza delle reti in relazione i) alla transizione verso protocolli di comunicazione a livello di rete di ultima generazione, ii) all’introduzione di norme moderne di comunicazione via posta elettronica concordate a livello internazionale e interoperabili e iii) all’applicazione delle migliori pratiche per la sicurezza del DNS e per la sicurezza dell’instradamento in Internet, come pure per l’igiene dell’instradamento, comportano sfide specifiche per quanto concerne l’individuazione delle migliori norme e delle migliori tecniche di diffusione disponibili. Al fine di conseguire quanto prima un livello comune elevato di cibersicurezza tra le reti, la Commissione, con l’assistenza dell’ENISA e in collaborazione con le autorità competenti, l’industria (compresa l’industria delle telecomunicazioni) e altri portatori di interessi, dovrebbe sostenere lo sviluppo di un forum multipartecipativo incaricato di individuare tali migliori norme e tecniche di diffusione disponibili. Gli orientamenti multipartecipativi in questione non dovrebbero pregiudicare l’obbligo per i soggetti pertinenti di attuare i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza di cui all’allegato del presente regolamento.

(9)A norma dell’articolo 21, paragrafo 2, lettera a), della direttiva (UE) 2022/2555, oltre alle politiche di analisi dei rischi, i soggetti essenziali e importanti dovrebbero disporre di politiche di sicurezza dei sistemi informativi. A tal fine, i soggetti pertinenti dovrebbero stabilire una politica di sicurezza dei sistemi informativi e di rete nonché politiche specifiche per tematica, quali le politiche sul controllo dell’accesso, che dovrebbero essere coerenti con la politica di sicurezza dei sistemi informativi e di rete. Quest’ultima politica dovrebbe essere il documento di livello più elevato che definisce l’approccio generale dei soggetti pertinenti alla sicurezza dei sistemi informativi e di rete e dovrebbe essere approvata dagli organi di gestione dei soggetti pertinenti. Le politiche specifiche per tematica dovrebbero essere approvate da un livello di dirigenza adeguato. Tale politica dovrebbe inoltre stabilire indicatori e misure volti a monitorare la sua attuazione nonché lo stato corrente del livello di maturità della sicurezza delle reti e dei sistemi informativi dei soggetti pertinenti, in particolare al fine di agevolare la sorveglianza dell’attuazione delle misure di gestione dei rischi di cibersicurezza attraverso gli organi di gestione.

(10)Ai fini dei requisiti tecnici e metodologici di cui all’allegato del presente regolamento, il termine «utente» dovrebbe comprendere tutte le persone fisiche e giuridiche che hanno accesso ai sistemi informativi e di rete del soggetto in questione.

Per saperne di più:

Tratto da:

Link:

EurLex

Foto:

Istockphoto (by Getty Images)

 

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it

Novità Legislative
Visite: 203

 

together logo en

KARMA Logo

Eurodesk marchio e logo colore

areerurali

readywomen

futuroeuropa

idebate1 idebate2 idebate3

 

philoxenia

 

 

 

latuaeu
scn

 

EdicCalabria&Europa'Eurokom'

ASSOCIAZIONE EUROKOM

Sede Legale: Via Cavour 4, 89040 Gerace (RC)

Sede Operativa: Palazzo Amaduri - Gioiosa Ionica (RC)

Servizio

Europe Direct "CalabriaEuropa" Palazzo Amaduri - Piazza Cinque Martiri Gioiosa Ionica (RC)

Tel.Fax: 00 39 0964 1901574

Email: associazioneeurokom@tiscali.it

Sito realizzato con il finanziamento della Commmissione europea - Rappresentanza in Italia Rappresentanza in Italia della Commissione europea

Contatore di visite

Oggi:
1273
Ieri:
27970
Settimana:
206631
Mese:
780471
Totali:
89281846
Oggi è il: 28-11-2024
Il tuo IP è: 52.14.27.122

Menu principale