Regolamento (UE) 2019/881
ID 17402 | | Visite: 2805 | Cybersicurezza | Permalink: https://www.certifico.com/id/17402 |
Regolamento (UE) 2019/881 / Cybersecurity Act
ID 17402 | 20.08.2022
Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)
GU L 151/15 del 7.6.2019
Il regolamento è in vigore dal 27 giugno 2019
Decreto Legislativo 3 agosto 2022 n. 123Norme di adeguamento della normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»). (GU n.194 del 20.08.2022). Entrata in vigore del provvedimento: 04/09/2022
...
Articolo 1 Oggetto e ambito di applicazione
1. Allo scopo di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione, il presente regolamento stabilisce:
a) gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA, («Agenzia dell’Unione europea per la cibersicurezza»); e
b) un quadro per l’introduzione di sistemi europei di certificazione della cibersicurezza al fine di garantire un livello adeguato di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC nell’Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cibersicurezza nell’Unione.
Il quadro di cui al primo comma, lettera b), si applica fatte salve disposizioni specifiche di altri atti giuridici dell’Unione in materia di certificazione volontaria o obbligatoria.
2. Il presente regolamento fa salve le competenze degli Stati membri per quanto riguarda le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell’ambito del diritto penale.
__________
Il mandato di ENISA prevede quanto segue:
- conseguire un elevato livello comune di cibersicurezza in tutta l’Unione;
- sostenere attivamente gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione nel miglioramento della cibersicurezza;
- fungere da punto di riferimento per pareri e competenze in materia di cibersicurezza per le istituzioni, gli organi e gli organismi dell’Unione nonché per altri portatori di interessi;
contribuire a ridurre la frammentazione nel mercato interno;
- agire in maniera indipendente, evitando la duplicazione delle attività paesi dell’Unione e tenendo conto delle competenze esistenti a livello nazionale;
- sviluppare le proprie risorse, incluse le capacità e abilità tecniche e umane.
I compiti dell’ENISA sono:
- sostenere l’elaborazione e l’attuazione delle politiche e delle leggi dell’Unione;
- promuovere lo sviluppo delle capacità, ad esempio migliorando la prevenzione, la rilevazione, l’analisi delle minacce informatiche* e la reazione alle stesse e sostenendo lo sviluppo e - il potenziamento dei gruppi nazionali di intervento per la sicurezza informatica in caso di incidente (CSIRT), o attraverso l’organizzazione di esercitazioni periodiche di cibersicurezza a livello dell’Unione;
- sostenere la cooperazione operativa tra tutti gli attori coinvolti, compresa la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione (CERT-UE), in particolare scambiando conoscenze e migliori pratiche, fornendo consulenza e orientamenti e assistendo l’Unione e la rete dei CSIRT nazionali;
sostenere e promuovere lo sviluppo e l’attuazione della politica dell’Unione in materia di certificazione della cibersicurezza dei prodotti TIC, dei servizi TIC e dei processi TIC, come stabilito dal quadro europeo di certificazione della cibersicurezza;
- raccogliere e analizzare le conoscenze e le informazioni sulla cibersicurezza e in particolare sulle tecnologie emergenti, le minacce informatiche e gli incidenti, per fornire - informazioni e consulenze alle autorità nazionali, ai portatori di interesse e, tramite un portale dedicato, al pubblico (cittadini, organizzazioni e imprese);
sensibilizzare l’opinione pubblica sui rischi connessi alla cibersicurezza e fornisce orientamenti in materia di buone pratiche per i singoli utenti e promuove la consapevolezza sulla cibersicurezza e l’alfabetizzazione informatica in generale;
- fornire consulenza sulle esigenze e le priorità e contribuire all’agenda strategica di ricerca e innovazione a livello dell’Unione nel campo della cibersicurezza;
- contribuire all’impegno dell’Unione nella cooperazione sulla cibersicurezza con i partner e le organizzazioni internazionali.
L’ENISA ha la seguente struttura amministrativa e di gestione:
- un consiglio di amministrazione, che comprende un membro nominato da ciascun paese dell’Unione e due membri nominati dalla Commissione europea; stabilisce gli orientamenti generali delle attività dell’agenzia e assicura che operi nelle condizioni che le consentono di servire secondo i principi stabiliti dal regolamento;
- un comitato esecutivo composto da cinque membri, che prepara le decisioni che dovranno essere adottate dal consiglio di amministrazione;
- un direttore esecutivo indipendente, che risponde al consiglio di amministrazione e riferisce al Parlamento europeo e al Consiglio su richiesta, responsabile dell’amministrazione dell’agenzia;
- un gruppo consultivo ENISA, composto da esperti riconosciuti che rappresentano i pertinenti portatori di interessi, quali il settore delle TIC, i fornitori delle reti o dei servizi di comunicazione elettronica, le PMI, i consumatori, gli esperti universitari, gli operatori di servizi essenziali, e i rappresentanti delle autorità competenti notificati in conformità con il codice europeo delle comunicazioni elettroniche, delle organizzazioni europee di normazione nonché delle autorità di contrasto e delle autorità di controllo preposte alla protezione dei dati, si occupa delle questioni pertinenti per i portatori di interesse e le porta all’attenzione di ENISA;
una rete di funzionari nazionali di collegamento composta da rappresentanti di tutti i paesi dell’Unione agevola lo scambio di informazioni tra l’ENISA e i paesi dell’Unione e sostiene - l’ENISA nella diffusione, in tutta l’Unione, delle attività, dei risultati e delle raccomandazioni che la riguardano.
- un gruppo di portatori di interessi per la certificazione della cibersicurezza, composto da esperti riconosciuti che, ad esempio, fornisce consulenza alla Commissione sulle questioni strategiche riguardanti il quadro europeo di certificazione della cibersicurezza e, su richiesta, a ENISA per questioni generali e strategiche concernenti i compiti pertinenti della stessa;
- un gruppo europeo per la certificazione della cibersicurezza (ECCG) composto da rappresentanti che coadiuvano la Commissione nelle sue attività volte a garantire un’attuazione e un’applicazione coerenti del regolamento, e l’ENISA in relazione alla preparazione di una proposta di sistema di certificazione della cibersicurezza.
ENISA:
- è istituita per un periodo indeterminato a decorrere dal 27 giugno 2019.
- opera in conformità di un documento unico di programmazione contenente la programmazione annuale e pluriennale;
- applica le norme di sicurezza della Commissione per la protezione delle informazioni sensibili non classificate e delle informazioni classificate UE;
- non rivela a terzi le informazioni riservate da essa trattate o ricevute;
- partecipa attivamente alle misure dell’Unione per la lotta contro la frode, la corruzione e altre attività illecite;
- tratta i dati personali in conformità con le rispettive regole dell’Unione.
Il regolamento istituisce un quadro europeo di certificazione della cibersicurezza al fine di:
- migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio - armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC;
-prevedere un meccanismo volto a istituire sistemi europei di certificazione della cibersicurezza e ad attestare che i prodotti, servizi TIC e processi TIC valutati nel loro ambito sono - conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita.
In base al quadro:
La Commissione:
- pubblica un programma di lavoro progressivo dell’Unione per la certificazione europea della cibersicurezza in cui sono individuate le priorità strategiche e i prodotti TIC, servizi TIC e processi TIC o categorie che possono beneficiare del sistema;
- può richiedere all’ENISA di preparare una proposta di sistema di certificazione o di rivedere un sistema esistente;
ENISA:
- prepara proposte di sistema adeguate, a seguito di una richiesta della Commissione o dell’ECCG;
- ogni cinque anni valuta ogni sistema europeo di certificazione della cibersicurezza adottato, tenendo conto del riscontro ricevuto dalle parti interessate;
- gestisce un apposito sito web che fornisce informazioni sui sistemi, sui certificati e sulle dichiarazioni di conformità.
I sistemi europei di certificazione volontaria della cibersicurezza:
- mirano a conseguire vari obiettivi di sicurezza, tra i quali proteggere i dati conservati, trasmessi o trattati;
- specificano il livello di affidabilità per i prodotti TIC, i servizi TIC e i processi TIC come «di base», «sostanziale» o «elevato»;
- consentono ai fabbricanti e ai fornitori di prodotti TIC, servizi TIC o processi TIC a basso rischio (ad esempio prodotti TIC, servizi TIC o processi TIC «di base») di valutarli loro stessi («autovalutazione della conformità»);
- devono comprendere alcuni elementi, quali una chiara descrizione dello scopo, dell’oggetto, dell’ambito di applicazione, dei criteri di valutazione e dei metodi utilizzati;
- sostituire sistemi nazionali simili, pur mantenendo validi quei certificati fino alla loro scadenza.
I fabbricanti e i fornitori di prodotti TIC, servizi TIC o processi TIC devono rendere pubblicamente disponibili:
- orientamenti e raccomandazioni che assistano gli utenti finali nell’installare, operare e mantenere in modo sicuro i loro prodotti o servizi;
- il periodo durante il quale sarà offerta assistenza di sicurezza;
- le informazioni di contatto;
- un riferimento ad archivi online contenenti informazioni sulle problematiche note relative ai loro prodotti o servizi.
I paesi dell’Unione designano una o più autorità nazionali di certificazione della cibersicurezza che dispongano di risorse adeguate per l’esercizio dei loro poteri e per supervisionare e far applicare le regole previste nei sistemi europei di certificazione.
La Commissione:
- valuta periodicamente l’efficacia e l’utilizzo dei sistemi europei di certificazione adottati e l’eventuale necessità di rendere obbligatorio uno specifico sistema;
- completa la prima valutazione dettagliata entro il 31 dicembre 2023 ed effettua le successive valutazioni almeno ogni due anni;
- entro il 28 giugno 2024, e successivamente ogni cinque anni, valuta l’impatto, l’efficacia e l’efficienza dell’ENISA.
Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo all’emittente di un certificato europeo di cibersicurezza e a ricercare un ricorso giurisdizionale effettivo.
Il regolamento fa salve le competenze dei paesi dell’unione per quanto riguarda la pubblica sicurezza, la difesa, la sicurezza nazionale e il diritto penale.
...
Collegati
Tags: Cybersecurity