1. Gli Stati membri assicurano che gli enti essenziali e importanti adottino misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi posti alla sicurezza delle reti e dei sistemi informativiSicurezza delle reti e dei sistemi informativi Si intende la capacità dei sistemi di rete e di informazione di resistere, a un determinato livello di fiducia, a qualsiasi evento che possa compromettere la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite tali sistemi di rete e di informazione. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) che tali entità utilizzano per le loro operazioni o per la fornitura dei loro servizi, e per prevenire o ridurre al minimo l'impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.
Tenendo conto dello stato dell'arte e, se del caso, delle pertinenti norme europee e internazionali, nonché dei costi di attuazione, le misure di cui al primo comma garantiscono un livello di sicurezza delle reti e dei sistemi informativi adeguato ai rischi posti. Nel valutare la proporzionalità di tali misure, si tiene debitamente conto del livello di sicurezza della rete e dei sistemi informativi. entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)L'esposizione ai rischi, le dimensioni dell'entità, la probabilità che si verifichino incidenti e la loro gravità, compreso l'impatto sociale ed economico.
2. Le misure di cui al paragrafo 1 si basano su un approccio che tiene conto di tutti i rischi e che mira a proteggere i sistemi di rete e di informazione e l'ambiente fisico di tali sistemi dagli incidenti, e comprendono almeno quanto segue:
(a) politiche su rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) analisi e sicurezza dei sistemi informativi;
(b) gestione degli incidentiGestione degli incidenti Si intende qualsiasi azione e procedura volta a prevenire, rilevare, analizzare e contenere o a rispondere e recuperare da un incidente -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2);
(c) la continuità operativa, come la gestione dei backup e il disaster recovery, e la gestione delle crisi;
(d) la sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza delle relazioni tra ciascun ente e i suoi fornitori diretti o prestatori di servizi;
(e) la sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi informativi, tra cui vulnerabilitàVulnerabilità Si intende una debolezza, una suscettibilità o un difetto dei prodotti o dei servizi ICT che può essere sfruttato da una minaccia informatica -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) gestione e divulgazione;
(f) le politiche e le procedure per valutare l'efficacia di sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; misure di gestione del rischio;
(g) pratiche di igiene informatica di base e formazione in materia di sicurezza informatica;
(h) le politiche e le procedure relative all'uso della crittografia e, se del caso, della cifratura;
(i) sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset;
(j) l'uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e di testo protette e di sistemi di comunicazione di emergenza protetti all'interno dell'entità, ove opportuno.
3. Gli Stati membri assicurano che, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo siano appropriate, gli enti tengano conto delle vulnerabilità specifiche di ciascun fornitore diretto e fornitore di servizi e della qualità generale dei prodotti e delle pratiche di cibersicurezza dei loro fornitori e fornitori di servizi, comprese le loro procedure di sviluppo sicuro. Gli Stati membri assicurano inoltre che, nel valutare quali misure di cui alla suddetta lettera siano appropriate, gli enti siano tenuti a prendere in considerazione i risultati delle valutazioni coordinate del rischio di sicurezza delle catene di approvvigionamento critiche condotte in conformità all'articolo 22, paragrafo 1.
4. Gli Stati membri garantiscono che un'entità che si accorge di non essere conforme alle misure di cui al paragrafo 2 adotti, senza indebito ritardo, tutte le misure correttive necessarie, appropriate e proporzionate.
5. Entro il 17 ottobre 2024, la Commissione adotta atti di esecuzione che stabiliscono i requisiti tecnici e metodologici delle misure di cui al paragrafo 2 per quanto riguarda i fornitori di servizi DNS e i registri di nomi di dominio di primo livello, servizio di cloud computingServizio di cloud computing Un servizio digitale che consente l'amministrazione on-demand e un ampio accesso remoto a un pool scalabile ed elastico di risorse informatiche condivisibili, anche nel caso in cui tali risorse siano distribuite su più sedi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornitori, servizio di centro datiServizio di centro dati Si intende un servizio che comprende strutture, o gruppi di strutture, dedicate all'alloggiamento centralizzato, all'interconnessione e al funzionamento di apparecchiature informatiche e di rete che forniscono servizi di archiviazione, elaborazione e trasporto di dati, insieme a tutte le strutture e infrastrutture per la distribuzione di energia e il controllo ambientale -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornitori, rete di distribuzione dei contenutiRete di distribuzione dei contenuti Si intende una rete di server distribuiti geograficamente allo scopo di garantire un'elevata disponibilità, accessibilità o consegna rapida di contenuti e servizi digitali agli utenti di Internet per conto di fornitori di contenuti e servizi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) fornitori di servizi, fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social networking, e servizio fiduciarioServizio fiduciario Si intende un servizio elettronico normalmente fornito a titolo oneroso che consiste: (a) nella creazione, verifica e convalida di firme elettroniche, sigilli elettronici o marche temporali elettroniche, servizi elettronici di consegna raccomandata e certificati relativi a tali servizi, o (b) nella creazione, verifica e convalida di certificati per l'autenticazione di siti web; o (c) nella conservazione di firme elettroniche, sigilli o certificati relativi a tali servizi - Definizione ai sensi dell'articolo 3, punto (16), del regolamento (UE) n. 910/2014 fornitori.
La Commissione può adottare atti di esecuzione che stabiliscono i requisiti tecnici e metodologici, nonché i requisiti settoriali, se necessario, delle misure di cui al paragrafo 2 per quanto riguarda le entità essenziali e importanti diverse da quelle di cui al primo comma del presente paragrafo.
Nel preparare gli atti di esecuzione di cui al primo e secondo comma del presente paragrafo, la Commissione si attiene, per quanto possibile, alle norme europee e internazionali e alle specifiche tecniche pertinenti. La Commissione scambia pareri e collabora con il gruppo di cooperazione e con l'ENISA sui progetti di atti di esecuzione conformemente all'articolo 14, paragrafo 4, lettera e).
Tali atti di esecuzione sono adottati conformemente alla procedura d'esame di cui all'articolo 39, paragrafo 2.