Articolo 30 – Regolamento sulla cibersicurezza
Obiettivi di sicurezza dei sistemi europei di certificazione della cibersicurezza
I sistemi europei di certificazione della cibersicurezza sono progettati per conseguire, se del caso, almeno i seguenti obiettivi di sicurezza:
a) |
proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC; |
b) |
proteggere i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC; |
c) |
le persone, i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso; |
d) |
individuare e documentare le dipendenze e vulnerabilità note; |
e) |
registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi; |
f) |
fare in modo che si possa verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e da chi; |
g) |
verificare che i prodotti TIC, i servizi TIC e i processi TIC non contengano vulnerabilità note; |
h) |
ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico; |
i) |
i prodotti TIC, i servizi TIC e i processi TIC devono essere sicuri fin dalla progettazione e per impostazione predefinita; |
j) |
il software e l’hardware dei prodotti TIC, dei servizi TIC e dei processi TIC devono essere aggiornati, non contenere vulnerabilità pubblicamente note e devono disporre di meccanismi per effettuare aggiornamenti protetti. |