Lo scorso 22 marzo, la Commissione europea ha proposto nuove norme per stabilire misure comuni in materia di cibersicurezza e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'UE. La proposta è volta a rafforzare la risposta di questi soggetti rispetto agli incidenti e alle minacce informatiche, come pure a garantire la sicurezza della pubblica amministrazione dell'UE in un contesto di crescenti attività informatiche dolose nel panorama globale.
In momento in cui coesistono la pandemia di COVID-19 e le crescenti tensioni geopolitiche, un approccio comune alla cibersicurezza e alla sicurezza delle informazioni è imprescindibile. Pertanto, la Commissione ha proposto un regolamento sulla cibersicurezza e sulla sicurezza delle informazioni, stabilendo priorità e quadri comuni.
L’attenzione dell’UE al tema nasce nel marzo del 2021, con una nota del Consiglio dell'Unione europea che sottolineò l'importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell'Unione.
Dando seguito alla strategia dell'UE per l'Unione della sicurezza e alla strategia dell'UE per la cibersicurezza, il regolamento proposto garantirà coerenza con le politiche dell'UE esistenti in materia di cibersicurezza:
- la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) e la futura direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione(”NIS 2”), che la Commissione ha proposto nel dicembre 2020;
- il regolamento sulla cibersicurezza;
- la raccomandazione della Commissione sull'istituzione di un'unità congiunta per il ciberspazio;
- la raccomandazione della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala.
Il regolamento sulla cibersicurezza introdurrà un quadro di gestione, di governance e di controllo dei rischi nel settore della cibersicurezza. Porterà alla creazione di un nuovo comitato interistituzionale per la cibersicurezza e accrescerà le capacità in materia di cibersicurezza. Amplierà inoltre il mandato della squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell'UE (CERT-EU).
Gli elementi chiave del regolamento sono:
1) Rafforzare il mandato del CERT-UE e fornire le risorse necessarie per il suo assolvimento
Esigere che tutte le istituzioni, gli organi e gli organismi dell'UE:
- si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cibersicurezza;
- attuino una base di riferimento per le misure di cibersicurezza per affrontare i rischi individuati;
- effettuino periodicamente valutazioni di maturità;
- predispongano un piano di miglioramento della propria cibersicurezza, approvato dalla loro dirigenza;
- condividano senza indebito ritardo con il CERT-UE le informazioni relative agli incidenti.
2) Istituire un nuovo comitato interistituzionale per la cibersicurezza per guidare e monitorare l'attuazione del regolamento e per indirizzare il CERT-EU
3) Rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cibersicurezza” in linea con gli sviluppi negli Stati membri e a livello globale, pur mantenendo l'abbreviazione CERT-UE per il riconoscimento del nome.
Il regolamento sulla sicurezza delle informazioni creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell'UE. Queste nuove norme costituiranno un terreno stabile per uno scambio sicuro di informazioni.
Gli elementi chiave del regolamento sono:
- Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell'UE, in particolare un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni
- Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
- Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto
- Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.
Ulteriori informazioni sono disponibili sul portale dedicato.