Logo
Delegazione presso l'UE: sede di Bruxelles
Seguici su
Cerca

Cybersicurezza

Per cybersicurezza si intende, secondo la definizione data dal Regolamento 2019/881, “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”. Se l’attenzione delle istituzioni europee verso la cybersicurezza si è accresciuta di pari passo con l’evoluzione degli spazi digitali e il loro utilizzo da parte delle pubbliche amministrazioni, ulteriore impulso è derivato dal moltiplicarsi dei tipi e delle occorrenze di attacchi hacker, non di rado legati a Stati esterni all’UE. 

Il primo passo in questo settore è stato realizzato nel 2007 con il Regolamento 460/2004, che ha istituito l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) con funzioni di supporto agli Stati membri e miglioramento delle loro capacità di sicurezza informatica. Il mandato dell’ENISA è stato esteso più volte nel tempo. La prima Strategia europea per la cybersicurezza è stata pubblicata dalla Commissione nel 2013, definendo i principi della cybersecurity a livello europeo e cinque priorità strategiche. 

Due importanti sviluppi legislativi hanno avuto luogo sotto la Commissione Juncker. La Direttiva recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (Direttiva NIS), entrata in vigore nel 2016 e da trasporre negli ordinamenti giuridici nazionali entro il maggio 2018, aveva l’obiettivo di spingere gli Stati membri a: 

  • adottare strategie nazionali di sicurezza informatica
  • istituire Team di Risposta agli Incidenti di Sicurezza Informatica (CSIRT)
  • creare un Gruppo di Cooperazione NIS e una rete dei CSIRT per consentire la cooperazione strategica e quella operativa; 
  • stabilire requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali
  • creare punti di contatto unici nazionali. 

In secondo luogo, nel 2017 la Commissione ha adottato un Pacchetto sulla Sicurezza informatica imperniato sul citato Regolamento 2019/881 sulla cybersicurezza, il cosiddetto Cybersecurity Act (adottato nel 2019 e tuttora in vigore). I cambiamenti principali hanno riguardato: 

  • una riforma complessiva di ENISA, consistente in un mandato permanente, maggiori risorse e nuove competenze; 
  • la creazione di un quadro di certificazione europeo, ovvero un set complessivo di regole, requisiti tecnici, standard e procedure per assicurare la protezione di prodotti, servizi e processi digitali da potenziali rischi informatici. 

Nel dicembre 2020, la Commissione Von der Leyen ha proposto una nuova Strategia in materia di cybersicurezza per il decennio digitale, in collegamento con la Comunicazione Plasmare il futuro digitale dell’Europa di febbraio 2020 e con la Strategia dell’UE per l'Unione della sicurezza di luglio 2020. La Strategia presentava proposte di iniziative politiche, di regolamentazione e di investimento in tre aree d'azione: 1) resilienza, sovranità tecnologica e leadership; 2) sviluppo della capacità operativa di prevenzione, deterrenza e risposta; 3) promozione di un ciberspazio globale e aperto grazie a una maggiore cooperazione. 

Nel corso del quinquennio, nel campo della cybersicurezza, della difesa e della resilienza nel settore cyber, la Commissione Von der Leyen ha inoltre proposto documenti programmatici quali: una Tabella di marcia relativa alle tecnologie critiche per la sicurezza e la difesa (febbraio 2022); una proposta di Raccomandazione del Consiglio sulla resilienza delle infrastrutture critiche (ottobre 2022); una Comunicazione congiunta sulla politica di cyberdifesa dell’UE (novembre 2022); una Comunicazione relativa ad un’Accademia per le competenze in materia di cybersicurezza (aprile 2023). 

Riguardo alle iniziative legislative, contestualmente alla pubblicazione della Strategia in materia di cybersicurezza è stata proposta nel dicembre 2020 la Direttiva relativa a misure per un livello comune elevato di cybersicurezza (Direttiva NIS2), che si configura come revisione della Direttiva NIS, abrogandola e migliorandola. La Direttiva NIS2 è entrata in vigore nel gennaio 2023; gli Stati membri dovranno recepirla entro ottobre 2024. Proposta insieme alla Direttiva NIS2, ed entrata in vigore insieme ad essa, la complementare Direttiva sulla resilienza delle entità critiche (Direttiva CER) dovrà essere trasposta negli ordinamenti nazionali entro ottobre 2024. 

La Direttiva NIS2 potenzia resilienza e risposta agli incidenti da parte di soggetti pubblici e privati e dell'UE nel suo complesso, anche rispetto alla protezione delle infrastrutture critiche

  • ampliando l’ambito di applicazione, con norme di identificazione generali che obbligheranno a prendere misure di gestione dei rischi di cybersicurezza tutti i soggetti di medie e grandi dimensioni che operano nei settori cruciali contemplati dalla direttiva; 
  • armonizzando gli obblighi in materia di cybersicurezza e l’attuazione delle misure di cybersicurezza nei diversi Stati membri, e istituendo meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro; 
  • rafforzando i requisiti minimi di gestione del rischio di sicurezza informativa e razionalizza gli obblighi di notifica di incidenti informatici; 
  • istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti e delle crisi di cybersicurezza su vasta scala. 

È inoltre imminente l’adozione di un Regolamento su requisiti orizzontali di cybersicurezza per prodotti con elementi digitali (Cyber Resilience Act, CRA), presentato in settembre 2022 e su cui Parlamento e Consiglio hanno raggiunto un accordo politico nel novembre 2023. La proposta introduce requisiti di cybersicurezza europei per le fasi di sviluppo, produzione e messa sul mercato di prodotti connessi, hardware e software, con responsabilità poste in capo ai produttori, che avranno a disposizione 21 o 36 mesi per adeguarsi alle prescrizioni. Il Regolamento comprende: 

  • norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti, che comprendono requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e norme per la loro immissione sul mercato; 
  • obbligo, per i fabbricanti, di fornire tempestivamente ai consumatori aggiornamenti di sicurezza per il periodo previsto di utilizzo del prodotto; 
  • requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza; 
  • norme in materia di vigilanza del mercato. 

Vi è infine una proposta di Regolamento sulla cybersolidarietà (EU Cyber Solidarity Act), presentata ad aprile 2023 nell’ambito di un pacchetto che include una modifica mirata del Regolamento sulla cybersicurezza. Il Cyber Solidarity Act, che mira a rafforzare le capacità nell’UE di individuare, preparare e rispondere ad attacchi significativi su larga scala, prevede la creazione: 

  • di un “cyberscudo”, ovvero un’infrastruttura paneuropea composta da centri operativi di sicurezza (SOC) nazionali e transfrontalieri, per la rilevazione di minacce informatiche; 
  • di un meccanismo per le emergenze di cybersicurezza, che comprenda azioni di preparazione per rilevare vulnerabilità, così come una “riserva” di sicurezza europea costituita da servizi di risposta agli incidenti, assicurati da fornitori di fiducia; 
  • di un meccanismo di riesame degli incidenti di cybersicurezza. 

Ultimo aggiornamento: 19-04-2024 10:18