Logo
Delegazione presso l'UE: sede di Bruxelles
Seguici su

Cybersicurezza

Per cybersicurezza si intende, secondo la definizione data dal Regolamento 2019/881, “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”. Se l’attenzione delle istituzioni europee verso la cybersicurezza si è accresciuta di pari passo con l’evoluzione degli spazi digitali e il loro utilizzo da parte delle pubbliche amministrazioni, ulteriore impulso è derivato dal moltiplicarsi dei tipi e delle occorrenze di attacchi hacker, non di rado legati a potenze esterne all’UE. 

Il primo passo in questo settore è stato realizzato nel 2007 con il Regolamento 460/2004, che ha istituito l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) con funzioni di supporto agli Stati membri e miglioramento delle loro capacità di sicurezza informatica. Il mandato dell’ENISA è stato esteso più volte nel tempo. La prima Strategia europea per la cybersicurezza è stata pubblicata dalla Commissione nel 2013, definendo i principi della cybersecurity a livello europeo e cinque priorità strategiche. 

Due importanti sviluppi legislativi hanno avuto luogo sotto la Commissione Juncker. La Direttiva recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (Direttiva NIS), entrata in vigore nel 2016 e da trasporre negli ordinamenti giuridici nazionali entro il maggio 2018, aveva l’obiettivo di spingere gli Stati membri a: 

  • adottare strategie nazionali di sicurezza informatica
  • istituire Team di Risposta agli Incidenti di Sicurezza Informatica (CSIRT)
  • creare un Gruppo di Cooperazione NIS e una rete dei CSIRT per consentire la cooperazione strategica e quella operativa; 
  • stabilire requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali
  • creare punti di contatto unici nazionali. 

In secondo luogo, nel 2017 la Commissione ha adottato un Pacchetto sulla Sicurezza informatica imperniato sul citato Regolamento 2019/881 sulla cybersicurezza, il cosiddetto Cybersecurity Act (tuttora in vigore). I cambiamenti principali hanno riguardato: 

  • una riforma complessiva di ENISA, consistente in un mandato permanente, maggiori risorse e nuove competenze; 
  • la creazione di un quadro di certificazione europeo, ovvero un set complessivo di regole, requisiti tecnici, standard e procedure per assicurare la protezione di prodotti, servizi e processi digitali da potenziali rischi informatici. 

Nel dicembre 2020, la prima Commissione Von der Leyen ha adottato una nuova Strategia in materia di cybersicurezza per il decennio digitale, in collegamento con la Comunicazione Plasmare il futuro digitale dell’Europa (febbraio 2020) e con la Strategia dell’UE per l’Unione della sicurezza (luglio 2020). La Strategia presentava proposte di iniziative politiche, di regolamentazione e di investimento in tre aree d'azione: 1) resilienza, sovranità tecnologica e leadership; 2) sviluppo della capacità operativa di prevenzione, deterrenza e risposta; 3) promozione di un ciberspazio globale e aperto grazie a una maggiore cooperazione. 

Nel campo della cybersicurezza e della cyberdifesa, tra il 2019 e il 2024 la prima Commissione Von der Leyen ha inoltre proposto ulteriori documenti programmatici, quali: una Tabella di marcia relativa alle tecnologie critiche per la sicurezza e la difesa (febbraio 2022); una proposta di Raccomandazione del Consiglio sulla resilienza delle infrastrutture critiche (ottobre 2022); una Comunicazione congiunta sulla politica di cyberdifesa dell’UE (novembre 2022); una Comunicazione su un’Accademia per le competenze in materia di cybersicurezza (aprile 2023). 

Riguardo alle iniziative legislative, nel gennaio 2023 è entrata in vigore la Direttiva relativa a misure per un livello comune elevato di cybersicurezza (Direttiva NIS2), che si configura come revisione della Direttiva NIS. Gli Stati membri sono stati chiamati a recepirla entro ottobre 2024, cosa che l’Italia ha fatto con il Decreto legislativo 4 settembre 2024, n. 138. Proposta e poi entrata in vigore insieme alla Direttiva NIS2, anche la complementare Direttiva sulla resilienza delle entità critiche (Direttiva CER) ha chiamato gli Stati membri alla trasposizione negli ordinamenti nazionali entro ottobre 2024. 

La Direttiva NIS2 potenzia resilienza e risposta agli incidenti da parte di soggetti pubblici e privati e dell'UE nel suo complesso, anche rispetto alla protezione delle infrastrutture critiche

  • ampliando l’ambito di applicazione, con norme di identificazione generali che obbligheranno a prendere misure di gestione dei rischi di cybersicurezza tutti i soggetti di medie e grandi dimensioni che operano nei settori cruciali contemplati dalla direttiva; 
  • armonizzando gli obblighi in materia di cybersicurezza e l’attuazione delle misure di cybersicurezza nei diversi Stati membri, e istituendo meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro; 
  • rafforzando i requisiti minimi di gestione del rischio di sicurezza informativa e razionalizza gli obblighi di notifica di incidenti informatici; 
  • istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti e delle crisi di cybersicurezza su vasta scala. 

In vigore da dicembre 2024, il Regolamento 2024/2847 su requisiti orizzontali di cybersicurezza per prodotti con elementi digitali (Cyber Resilience Act, CRA) si applicherà in parte dal giugno o dal settembre 2026 e, per la maggior parte, dal dicembre 2027. In questo modo, oltre che con apposite misure di supporto alle PMI coinvolte, si mira a garantire ai produttori il tempo di adeguarsi alle nuove norme. La normativa introduce infatti requisiti di cybersicurezza europei per le fasi di sviluppo, produzione e messa sul mercato di prodotti connessi, hardware e software, con responsabilità poste in capo ai produttori. Il Regolamento comprende: 

  • norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti, che comprendono requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e norme per la loro immissione sul mercato; 
  • obbligo, per i fabbricanti, di fornire tempestivamente ai consumatori aggiornamenti di sicurezza per il periodo previsto di utilizzo del prodotto; 
  • requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza; 
  • norme in materia di vigilanza del mercato.

Il Regolamento 2025/38 sulla cybersolidarietà (EU Cyber Solidarity Act), presentato in aprile 2023 nell’ambito di un pacchetto che include una modifica mirata del Regolamento sulla cybersicurezza, è entrato in vigore nel febbraio 2025. Per rafforzare le capacità nell’UE di individuare, preparare e rispondere ad attacchi significativi su larga scala, prevede la creazione: 

  • di un “cyberscudo”, ovvero un’infrastruttura paneuropea composta da centri operativi di sicurezza (SOC) nazionali e transfrontalieri, per la rilevazione di minacce informatiche; 
  • di un meccanismo per le emergenze di cybersicurezza, che comprenda azioni di preparazione per rilevare vulnerabilità, così come una “riserva” di sicurezza europea costituita da servizi di risposta agli incidenti, assicurati da fornitori di fiducia; 
  • di un meccanismo di riesame degli incidenti di cybersicurezza.

Per evitare che gli attacchi informatici possano interrompere servizi vitali, in linea con quanto annunciato negli orientamenti politici presentati da von der Leyen, nel gennaio 2025 la seconda Commissione von der Leyen ha adottato un Piano d’azione europeo sulla cibersicurezza degli ospedali e dei prestatori di assistenza sanitaria. Nel febbraio 2025 ha inoltre presentato la Cyber Blueprint, una proposta di Raccomandazione del Consiglio dell’UE per un programma dell’UE per la gestione delle crisi informatiche. A giugno 2025 il Consiglio ha adottato la Raccomandazione come strumento che, mappando attori e ruoli rilevanti a livello di UE, fornisce orientamenti sulla risposta agli incidenti di cibersicurezza su vasta scala e alle crisi informatiche.

Ultimo aggiornamento: 05-08-2025 14:42