La Commissione europea introduce due nuovi regolamenti in materia di sicurezza digitale

La Commissione europea ha proposto due nuovi regolamenti in tema di sicurezza informatica, nel tentativo di arginare gli attacchi digitali sempre più frequenti rivolti alle istituzioni europee.

Lo scorso 22 marzo, la Commissione europea ha proposto nuove norme per stabilire misure comuni in materia di cibersicurezza e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'UE. La proposta è volta a rafforzare la risposta di questi soggetti rispetto agli incidenti e alle minacce informatiche, come pure a garantire la sicurezza della pubblica amministrazione dell'UE in un contesto di crescenti attività informatiche dolose nel panorama globale. 
In momento in cui coesistono la pandemia di COVID-19 e le crescenti tensioni geopolitiche, un approccio comune alla cibersicurezza e alla sicurezza delle informazioni è imprescindibile. Pertanto, la Commissione ha proposto un regolamento sulla cibersicurezza e sulla sicurezza delle informazioni, stabilendo priorità e quadri comuni.
L’attenzione dell’UE al tema nasce nel marzo del 2021, con una nota del Consiglio dell'Unione europea che sottolineò l'importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell'Unione.
Dando seguito alla strategia dell'UE per l'Unione della sicurezza e alla strategia dell'UE per la cibersicurezza, il regolamento proposto garantirà coerenza con le politiche dell'UE esistenti in materia di cibersicurezza:

Il regolamento sulla cibersicurezza introdurrà un quadro di gestione, di governance e di controllo dei rischi nel settore della cibersicurezza. Porterà alla creazione di un nuovo comitato interistituzionale per la cibersicurezza e accrescerà le capacità in materia di cibersicurezza. Amplierà inoltre il mandato della squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell'UE (CERT-EU).
Gli elementi chiave del regolamento sono:
        1) Rafforzare il mandato del CERT-UE e fornire le risorse necessarie per il suo assolvimento
Esigere che tutte le istituzioni, gli organi e gli organismi dell'UE:

  • si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cibersicurezza;
  • attuino una base di riferimento per le misure di cibersicurezza per affrontare i rischi individuati;
  • effettuino periodicamente valutazioni di maturità;
  • predispongano un piano di miglioramento della propria cibersicurezza, approvato dalla loro dirigenza;
  • condividano senza indebito ritardo con il CERT-UE le informazioni relative agli incidenti.

       2) Istituire un nuovo comitato interistituzionale per la cibersicurezza per guidare e monitorare l'attuazione del                         regolamento e per indirizzare il CERT-EU
       3) Rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cibersicurezza” in linea con             gli sviluppi negli Stati membri e a livello globale, pur mantenendo l'abbreviazione CERT-UE per il riconoscimento               del nome.
Il regolamento sulla sicurezza delle informazioni creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell'UE. Queste nuove norme costituiranno un terreno stabile per uno scambio sicuro di informazioni.
Gli elementi chiave del regolamento sono:

  • Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell'UE, in particolare un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni
  • Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
  • Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto
  • Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.

Ulteriori informazioni sono disponibili sul portale dedicato