In particolare, il Regolamento trova applicazione nei confronti di registri dei nomi di dominio di primo livello nonché di fornitori di servizi DNS, di cloud computing, di data center, di reti di distribuzione dei contenuti, di servizi gestiti e di servizi di sicurezza gestiti, di mercati online, di motori di ricerca online, di piattaforme di servizi di social network e di servizi fiduciari (i "Soggetti Pertinenti").
Con specifico riferimento alle misure di gestione dei rischi, il Regolamento, in termini generali, prevede un c.d. risk based approach nell'attuazione e nell'applicazione dei requisiti tecnici e metodologici di dette misure, che tenga conto del grado di esposizione ai rischi, delle dimensioni del Soggetto Pertinente, della probabilità che si verifichino incidenti e la relativa gravità, compreso l'impatto sociale ed economico.
Il Regolamento, quindi, nel dettaglio, rimanda all'allegato del medesimo Regolamento l'indicazione dei requisiti tecnici e metodologici. In proposito, tra le altre, detto allegato prevede, in capo ai Soggetti Pertinenti, l'obbligo di:
a) stabilire le responsabilità e le autorità in materia di sicurezza dei sistemi informativi e di rete, assegnando ruoli e comunicandoli agli organi di gestione;
b) istituire e mantenere un quadro di gestione dei rischi adeguato al fine di individuare e affrontare i rischi per la sicurezza dei sistemi informativi e di rete, documentando la valutazione dei rischi e, sulla base di tale valutazione, attuando e monitorando un piano di trattamento dei rischi;
c) stabilire e attuare una politica di gestione degli incidenti che stabilisca i ruoli, le responsabilità e le procedure per rilevare, analizzare e contenere gli incidenti o rispondere agli stessi, nonché per il recupero dagli incidenti, e per documentare e segnalare gli incidenti in maniera tempestiva;
d) stabilire e mantenere un piano di continuità operativa e di ripristino in caso di disastro da applicare in caso di incidenti;
e) stabilire, attuare e applicare una politica di sicurezza della catena di approvvigionamento che disciplini le relazioni con i loro diretti fornitori e fornitori di servizi al fine di attenuare i rischi individuati per la sicurezza dei sistemi informativi e di rete;
f) stabilire e attuare processi per gestire i rischi derivanti dall'acquisizione, dai fornitori o dai fornitori di servizi, di servizi TIC o prodotti TIC per componenti critici per la sicurezza dei loro sistemi informativi e di rete durante tutto il loro ciclo di vita;
g) stabilire, attuare e applicare una strategia e procedure per valutare se le misure di gestione dei rischi di cibersicurezza da essi adottate siano attuate e mantenute efficacemente;
h) provvedere affinché i loro dipendenti, compresi i membri degli organi di gestione, nonché i diretti fornitori e fornitori di servizi, siano consapevoli dei rischi, siano informati in merito all'importanza della cibersicurezza e applichino pratiche di igiene informatica;
i) stabilire, attuare e applicare una politica e procedure relative alla crittografia, al fine di garantire un uso adeguato ed efficace della crittografia stessa per proteggere la riservatezza, l'autenticità e l'integrità dei dati;
j) stabilire, documentare e attuare strategie di controllo dell'accesso logico e fisico per l'accesso ai loro sistemi informativi e di rete, sulla base dei requisiti operativi e dei requisiti di sicurezza dei sistemi informativi e di rete;
k) prevenire la perdita, il danneggiamento o la compromissione dei sistemi informativi e di rete o l'interruzione delle loro operazioni a causa di guasti e perturbazioni dei servizi pubblici di supporto.
Authors: Francesco Falco, Livia Lo Dico, Chiara Arcidiacono