Articolo 51 – Regolamento sulla cibersicurezza
Obiettivi di sicurezza dei sistemi europei di certificazione della cibersicurezza
I sistemi europei di certificazione della cibersicurezza sono progettati per conseguire, se del caso, almeno i seguenti obiettivi di sicurezza:
| a) | proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC; |
| b) | proteggere i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC; |
| c) | le persone, i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso; |
| d) | individuare e documentare le dipendenze e vulnerabilità note; |
| e) | registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi; |
| f) | fare in modo che si possa verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e da chi; |
| g) | verificare che i prodotti TIC, i servizi TIC e i processi TIC non contengano vulnerabilità note; |
| h) | ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico; |
| i) | i prodotti TIC, i servizi TIC e i processi TIC devono essere sicuri fin dalla progettazione e per impostazione predefinita; |
| j) | il software e l’hardware dei prodotti TIC, dei servizi TIC e dei processi TIC devono essere aggiornati, non contenere vulnerabilità pubblicamente note e devono disporre di meccanismi per effettuare aggiornamenti protetti. |
