Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte. Scarica l'app da o da



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Caffe20  Dizionario  App  Video Demo · Accesso · Iscrizioni    
             

Abbonati:




Scarica il dizionario:


Per cancellarsi dalla precedente newsletter interna

  


Sicurezza 18.06.2019    Pdf    Appunta    Letti    Post successivo  

Certificazione della cybersicurezza

Nella privacy i consulenti non possono essere certificati. Ma la sicurezza diventerÓ sempre piu' certificata.

Continuano ad aumentare i costi di gestione, pur essendoci un problema oggettivo di coerenza delle soluzioni informatiche.

 

R

REGOLAMENTO (UE) 2019/881 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 17 aprile 2019

relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)

(Testo rilevante ai fini del SEE)

TITOLO III

QUADRO DI CERTIFICAZIONE DELLA CIBERSICUREZZA

Articolo 46

Quadro europeo di certificazione della cibersicurezza

1.   È istituito il quadro europeo di certificazione della cibersicurezza al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC.

2.   Il quadro europeo di certificazione della cibersicurezza prevede un meccanismo volto a istituire sistemi europei di certificazione della cibersicurezza e ad attestare che i prodotti, servizi TIC e processi TIC valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita.

Articolo 47

Il programma di lavoro progressivo dell’Unione per la certificazione europea della cibersicurezza

1.   La Commissione pubblica un programma di lavoro progressivo dell’Unione per la certificazione europea della cibersicurezza («programma di lavoro progressivo dell’Unione») in cui sono individuate le priorità strategiche per i futuri sistemi europei di certificazione della cibersicurezza.

2.   Il programma di lavoro progressivo dell’Unione include in particolare un elenco di prodotti TIC, servizi TIC e processi TIC o delle relative categorie che possono beneficiare dell’inclusione nell’ambito di applicazione di un sistema europeo di certificazione della cibersicurezza.

3.   L’inclusione, nel programma di lavoro progressivo dell’Unione, di specifici prodotti TIC, servizi TIC e processi TIC o delle relative categorie è giustificata sulla base di una o più delle seguenti motivazioni:

a)

la disponibilità e lo sviluppo di sistemi nazionali di certificazione della cibersicurezza relativi a specifiche categorie di prodotti TIC, servizi TIC o processi TIC e in particolare in relazione al rischio di frammentazione;

b)

la pertinente politica o il pertinente diritto dell’Unione o degli Stati membri;

c)

la domanda di mercato;

d)

gli sviluppi nel panorama delle minacce informatiche;

e)

la richiesta di preparazione di una specifica proposta di sistema da parte del’ECCG.

4.   La Commissione tiene nella debita considerazione i pareri in merito al progetto di programma di lavoro progressivo dell’Unione espressi dall’ECCG e dal gruppo dei portatori di interessi per la certificazione della cibersicurezza.

5.   Il primo programma di lavoro progressivo dell’Unione è pubblicato entro il 28 giugno 2020. Il programma di lavoro progressivo dell’Unione è aggiornato almeno ogni tre anni e più spesso se necessario.

Articolo 48

Richiesta di un sistema europeo di certificazione della cibersicurezza

1.   La Commissione può richiedere all’ENISA di preparare una proposta di sistema o di rivedere un sistema europeo di certificazione della cibersicurezza esistente sulla base del programma di lavoro progressivo dell’Unione.

2.   In casi debitamente giustificati la Commissione o l’ECCG può richiedere all’ENISA di preparare una proposta di sistema o di rivedere un sistema europeo di certificazione della cibersicurezza esistente non incluso nel programma di lavoro progressivo dell’Unione. Il programma di lavoro progressivo dell’Unione è aggiornato di conseguenza.

Articolo 49

Preparazione, adozione e revisione di un sistema europeo di certificazione della cibersicurezza

1.   A seguito di una richiesta della Commissione ai sensi dell’articolo 48, l’ENISA prepara una proposta di sistema che soddisfi i requisiti di cui agli articoli 51, 52 e 54.

2.   A seguito di una richiesta dell’ECCG a norma dell’articolo 48, paragrafo 2, l’ENISA può preparare una proposta di sistema che soddisfi i requisiti di cui agli articoli 51, 52 e 54. Qualora respinga tale richiesta, l’ENISA motiva il proprio rifiuto. Ogni decisione di rifiuto della richiesta è presa dal consiglio di amministrazione.

3.   Nella preparazione di una proposta di sistema, l’ENISA consulta tutti i pertinenti portatori di interessi mediante un processo di consultazione formale, aperto, trasparente e inclusivo.

4.   Per ciascuna proposta di sistema, l’ENISA istituisce un gruppo di lavoro ad hoc in conformità dell’articolo 20, paragrafo 4, con l’obiettivo di fornire all’ENISA consulenza e competenze specifiche.

5.   L’ENISA coopera strettamente con l’ECCG. L’ECCG fornisce all’ENISA assistenza e consulenza specialistica in relazione alla preparazione della proposta di sistema e adotta un parere sulla proposta.

6.   L’ENISA tiene nella massima considerazione il parere dell’ECCG prima di trasmettere alla Commissione la proposta di sistema preparata in conformità dei paragrafi 3, 4 e 5. Il parere dell’ECCG non vincola l’ENISA e la sua assenza non impedisce all’ENISA di trasmettere la proposta di sistema alla Commissione.

7.   La Commissione, sulla base della proposta di sistema preparata dall’ENISA, può adottare atti di esecuzione, prevedendo un sistema europeo di certificazione della cibersicurezza per i prodotti TIC, i servizi TIC e i processi TIC che soddisfano i requisiti di cui agli articoli 51, 52 e 54. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 66, paragrafo 2.

8.   Almeno ogni cinque anni l’ENISA valuta ogni sistema europeo di certificazione della cibersicurezza adottato, tenendo conto del riscontro ricevuto dalle parti interessate. Se necessario, la Commissione o l’ECCG può chiedere all’ENISA di avviare il processo di sviluppo di una proposta riveduta di sistema in conformità dell’articolo 48 e del presente articolo.

Articolo 50

Sito web sui sistemi europei di certificazione della cibersicurezza

1.   L’ENISA gestisce un apposito sito web che fornisce informazioni sui sistemi europei di certificazione della cibersicurezza, sui certificati europei di cibersicurezza e sulle dichiarazioni UE di conformità, e li pubblicizza, comprese le informazioni sui certificati europei di cibersicurezza che non sono più validi, sui certificati europei di cibersicurezza e sulle dichiarazioni UE di conformità revocati e scaduti e sul repertorio di link a informazioni sulla cibersicurezza fornite a norma dell’articolo 55.

2.   Ove applicabile, il sito web di cui al paragrafo 1 indica inoltre i sistemi di certificazione della cibersicurezza nazionali che sono stati sostituiti da un sistema europeo di certificazione della cibersicurezza.

Articolo 51

Obiettivi di sicurezza dei sistemi europei di certificazione della cibersicurezza

I sistemi europei di certificazione della cibersicurezza sono progettati per conseguire, se del caso, almeno i seguenti obiettivi di sicurezza:

a)

proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC;

b)

proteggere i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC;

c)

le persone, i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso;

d)

individuare e documentare le dipendenze e vulnerabilità note;

e)

registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi;

f)

fare in modo che si possa verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e da chi;

g)

verificare che i prodotti TIC, i servizi TIC e i processi TIC non contengano vulnerabilità note;

h)

ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico;

i)

i prodotti TIC, i servizi TIC e i processi TIC devono essere sicuri fin dalla progettazione e per impostazione predefinita;

j)

il software e l’hardware dei prodotti TIC, dei servizi TIC e dei processi TIC devono essere aggiornati, non contenere vulnerabilità pubblicamente note e devono disporre di meccanismi per effettuare aggiornamenti protetti.

Articolo 52

Livelli di affidabilità dei sistemi europei di certificazione della cibersicurezza

1.   I sistemi europei di certificazione della cibersicurezza possono specificare per i prodotti TIC, i servizi TIC e i processi TIC uno o più dei seguenti livelli di affidabilità: «di base», «sostanziale» o «elevato». Il livello di affidabilità è commisurato al livello del rischio associato al previsto uso del prodotto TIC, servizio TIC o processo TIC, in termini di probabilità e impatto di un incidente.

2.   I certificati europei di cibersicurezza e le dichiarazioni UE di conformità si riferiscono a qualsiasi livello di affidabilità specificato nel sistema europeo di certificazione della cibersicurezza nell’ambito del quale si rilascia il certificato europeo di cibersicurezza o la dichiarazione UE di conformità.

3.   I requisiti di sicurezza corrispondenti a ogni livello di affidabilità sono indicati nel sistema europeo di certificazione della cibersicurezza pertinente, comprese le corrispondenti funzionalità di sicurezza e il rigore e la specificità corrispondenti della valutazione a cui deve essere sottoposto il prodotto TIC, servizio TIC o processo TIC.

4.   Il certificato o la dichiarazione UE di conformità si riferiscono a specifiche tecniche, norme e procedure ad esso connesse, tra cui i controlli tecnici, il cui obiettivo è ridurre il rischio di incidenti di cibersicurezza, o prevenirli

5.   Un certificato europeo di cibersicurezza o una dichiarazione UE di conformità che si riferisca al livello di affidabilità «di base» assicura che i prodotti TIC, i servizi TIC e i processi TIC per i quali sono rilasciati tale certificato o tale dichiarazione UE di conformità rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi di base noti di incidenti e attacchi informatici. Le attività di valutazione da intraprendere comprendono almeno un riesame della documentazione tecnica. Qualora tale riesame non sia appropriato, si ricorre ad attività di valutazione sostitutive di effetto equivalente.

6.   Un certificato europeo di cibersicurezza che si riferisca al livello di affidabilità «sostanziale» assicura che i prodotti TIC, servizi TIC e processi TIC per i quali è rilasciato tale certificato rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi alla cibersicurezza e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate. Le attività di valutazione da intraprendere comprendono almeno le seguenti: un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note e un test per dimostrare che i prodotti TIC, i servizi TIC o i processi TIC attuano correttamente le necessarie funzionalità di sicurezza. Qualora tali attività di valutazione non siano appropriate, si ricorre ad attività di valutazione sostitutive di effetto equivalente.

7.   Un certificato europeo di cibersicurezza che si riferisca al livello di affidabilità «elevato» assicura che i prodotti TIC, i servizi TIC e i processi TIC per i quali è rilasciato tale certificato rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative. Le attività di valutazione da intraprendere comprendono almeno le seguenti: un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note, un test per dimostrare che i prodotti TIC, i servizi TIC o i processi TIC attuano correttamente le necessarie funzionalità di sicurezza, allo stato tecnologico più avanzato, e una valutazione della loro resistenza agli attacchi commessi da soggetti qualificati mediante test di penetrazione. Qualora tali attività di valutazione non siano appropriate, si ricorre ad attività sostitutive di effetto equivalente.

8.   I sistemi europei di certificazione della cibersicurezza possono precisare vari livelli di valutazione in funzione del rigore e della specificità della metodologia di valutazione utilizzata. Ciascun livello di valutazione corrisponde a uno dei livelli di affidabilità ed è definito da un’idonea combinazione di componenti dell’affidabilità.

Articolo 53

Autovalutazione della conformità

1.   Un sistema europeo di certificazione della cibersicurezza può consentire un’autovalutazione della conformità sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC. Tale autovalutazione della conformità è consentita unicamente in relazione ai prodotti TIC, servizi TIC e processi TIC che presentano un basso rischio corrispondenti al livello di affidabilità «di base».

2.   Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC può rilasciare una dichiarazione UE di conformità in cui afferma che è stato dimostrato il rispetto dei requisiti previsti nel sistema. Rilasciando tale dichiarazione, il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC si assume la responsabilità della conformità del prodotto TIC, servizio TIC o processo TIC ai requisiti previsti in tale sistema.

3.   Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC rende disponibile all’autorità nazionale di certificazione della cibersicurezza di cui all’articolo 58, per il periodo stabilito nel corrispondente sistema europeo di certificazione della cibersicurezza, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC o servizi TIC al sistema. Una copia della dichiarazione UE di conformità è trasmessa all’autorità nazionale di certificazione della cibersicurezza e all’ENISA.

4.   Il rilascio di una dichiarazione UE di conformità è volontario, salvo diversamente specificato nel diritto dell’Unione o degli Stati membri.

5.   Le dichiarazioni UE di conformità sono riconosciute in tutti gli Stati membri.

18.06.2019 G.U Europa
Fonte: G.U Europa




Segui le novità in materia di Sicurezza su Civile.it via Telegram
oppure via email: (gratis Info privacy)



Dossier:



dallo store:
visita lo store

Altro su Sicurezza:


VIDEO: "... come se le cose che ci fanno sentire bene non fossero abbastanza importanti ..." - Antonio Albanese, Come sei fortunato


Spieghiamo contratti, ecommerce, privacy e il diritto di internet su Civile.it dal 1999



Tinyletter - I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in