Art. 24
Obblighi in materia di misure di gestione dei rischi per la sicurezza
informatica
1. I soggetti essenziali e i soggetti importanti adottano misure
tecniche, operative e organizzative adeguate e proporzionate, secondo
le modalita' e i termini di cui agli articoli 30, 31 e 32, alla
gestione dei rischi posti alla sicurezza dei sistemi informativi e di
rete che tali soggetti utilizzano nelle loro attivita' o nella
fornitura dei loro servizi, nonche' per prevenire o ridurre al minimo
l'impatto degli incidenti per i destinatari dei loro servizi e per
altri servizi. Tali misure:
a) assicurano un livello di sicurezza dei sistemi informativi e
di rete adeguato ai rischi esistenti, tenuto conto delle conoscenze
piu' aggiornate e dello stato dell'arte in materia e, ove
applicabile, delle pertinenti norme nazionali, europee e
internazionali, nonche' dei costi di attuazione;
b) sono proporzionate al grado di esposizione a rischi del
soggetto, alle dimensioni del soggetto e alla probabilita' che si
verifichino incidenti, nonche' alla loro gravita', compreso il loro
impatto sociale ed economico.
2. Le misure di cui al comma 1 sono basate su un approccio
multi-rischio, volto a proteggere i sistemi informativi e di rete
nonche' il loro ambiente fisico da incidenti, e comprendono almeno i
seguenti elementi:
a) politiche di analisi dei rischi e di sicurezza dei sistemi
informativi e di rete;
b) gestione degli incidenti, ivi incluse le procedure e gli
strumenti per eseguire le notifiche di cui agli articoli 25 e 26;
c) continuita' operativa, ivi inclusa la gestione di backup, il
ripristino in caso di disastro, ove applicabile, e gestione delle
crisi;
d) sicurezza della catena di approvvigionamento, ivi compresi gli
aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun
soggetto e i suoi diretti fornitori o fornitori di servizi;
e) sicurezza dell'acquisizione, dello sviluppo e della
manutenzione dei sistemi informativi e di rete, ivi comprese la
gestione e la divulgazione delle vulnerabilita';
f) politiche e procedure per valutare l'efficacia delle misure di
gestione dei rischi per la sicurezza informatica;
g) pratiche di igiene di base e di formazione in materia di
sicurezza informatica;
h) politiche e procedure relative all'uso della crittografia e,
ove opportuno, della cifratura;
i) sicurezza e affidabilita' del personale, politiche di
controllo dell'accesso e gestione dei beni e degli assetti;
l) uso di soluzioni di autenticazione a piu' fattori o di
autenticazione continua, di comunicazioni vocali, video e testuali
protette, e di sistemi di comunicazione di emergenza protetti da
parte del soggetto al proprio interno, ove opportuno.
3. Nel valutare quali misure di cui al comma 2, lettera d), siano
adeguate, i soggetti tengono conto delle vulnerabilita' specifiche
per ogni diretto fornitore e fornitore di servizi e della qualita'
complessiva dei prodotti e delle pratiche di sicurezza informatica
dei propri fornitori e fornitori di servizi, comprese le loro
procedure di sviluppo sicuro. Per la medesima finalita' i soggetti
tengono altresi' conto dei risultati delle valutazioni coordinate dei
rischi per la sicurezza delle catene di approvvigionamento critiche
effettuate dal Gruppo di cooperazione NIS.
4. Qualora un soggetto rilevi di non essere conforme alle misure di
cui al comma 2, esso adotta, senza indebito ritardo, tutte le misure
appropriate e proporzionate correttive necessarie.