Home
UE e internazionale

Pacchetto sulla cibersicurezza: il Consiglio adotta nuove norme per rafforzare le capacità di risposta dell'UE alle minacce informatiche

La Redazione
12 Dicembre 2024

Al fine di rafforzare la solidarietà e le capacità dell'UE di rilevamento delle minacce informatiche e dei relativi incidenti, il Consiglio europeo ha adottato il 2 dicembre 2024 due regolamenti rientranti nel “pacchetto” legislativo sulla cybersicurezza, ovvero il c.d. “Cyber solidarity act” e una modifica mirata della legge sulla cybersicurezza (cybersecurity act – CSA).

Per rafforzare la solidarietà e le capacità dell'UE di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi, oggi il Consiglio ha adottato due nuovi atti legislativi che fanno parte del "pacchetto" legislativo sulla cibersicurezza, vale a dire il cosiddetto "regolamento sulla cibersolidarietà" e una modifica mirata del regolamento sulla cibersicurezza.

Principali elementi del regolamento sulla cibersolidarietà

Il nuovo regolamento stabilisce le capacità dell'UE per rendere l'Europa più resiliente di fronte alle minacce informatiche, rafforzando nel contempo i meccanismi di cooperazione. Istituisce, tra l'altro, un "sistema di allarme in materia di cibersicurezza", ossia un'infrastruttura paneuropea costituita da poli informatici nazionali e transfrontalieri in tutta l'UE. Si tratta di soggetti, incaricati di condividere le informazioni nonché di rilevare le minacce informatiche e agire di conseguenza, che utilizzeranno tecnologie all'avanguardia, quali l'intelligenza artificiale (IA) e l'analisi avanzata dei dati, per rilevare le minacce e gli incidenti informatici a livello transfrontaliero e condividere tempestivamente avvertimenti. Rafforzeranno il quadro europeo esistente mentre, a loro volta, le autorità e i soggetti pertinenti saranno in grado di rispondere in modo più efficiente ed efficace agli incidenti di cibersicurezza.

Il nuovo regolamento prevede inoltre la creazione di un meccanismo per le emergenze di cibersicurezza destinato ad accrescere la preparazione e potenziare le capacità di risposta agli incidenti nell'UE. Tale meccanismo sosterrà:

  • azioni di preparazione, compreso lo svolgimento di verifiche presso soggetti che operano in settori altamente critici (sanità, trasporti, energia ecc.) per rilevare potenziali vulnerabilità sulla base di scenari di rischio e metodologie comuni
  • una nuova riserva dell'UE per la cibersicurezza, consistente in servizi di risposta agli incidenti erogati dal settore privato e pronti a intervenire su richiesta di uno Stato membro o di istituzioni, organi e organismi dell'UE, nonché di paesi terzi associati, in caso di incidenti di cibersicurezza significativi o su vasta scala
  • assistenza tecnica reciproca.

Infine, il nuovo regolamento istituisce un meccanismo di riesame degli incidenti per valutare, tra l'altro, l'efficacia delle azioni nell'ambito del meccanismo per le emergenze di cibersicurezza e l'uso della riserva per la cibersicurezza, nonché il contributo del regolamento al rafforzamento della posizione competitiva del settore industriale e dei servizi.

Modifica mirata del regolamento sulla cibersicurezza del 2019

La modifica mirata intende rafforzare la ciberresilienza dell'UE consentendo la futura adozione di sistemi europei di certificazione per i cosiddetti "servizi di sicurezza gestiti". Nel nuovo regolamento si riconosce la crescente importanza dei servizi di sicurezza gestiti per la prevenzione e il rilevamento degli incidenti di cibersicurezza, la risposta agli stessi o la ripresa da essi. Possono consistere, ad esempio, nella gestione degli incidenti, in test di penetrazione, in audit di sicurezza e nella consulenza relativa all'assistenza tecnica.

In attesa dei risultati della valutazione del regolamento sulla cibersicurezza, questa modifica mirata consentirà l'introduzione di sistemi europei di certificazione per i servizi di sicurezza gestiti. Contribuirà ad aumentarne la qualità e comparabilità, a promuovere l'emergere di fornitori di servizi di cibersicurezza affidabili e a evitare la frammentazione del mercato interno, visto che alcuni Stati membri hanno già iniziato ad adottare sistemi nazionali di certificazione per i servizi di sicurezza gestiti.

Prossime tappe

A seguito della firma da parte del presidente del Consiglio e della presidente del Parlamento europeo, entrambi gli atti legislativi saranno pubblicati nella Gazzetta ufficiale dell'UE nelle prossime settimane ed entreranno in vigore venti giorni dopo la pubblicazione.

Informazioni generali

Il 18 aprile 2023 la Commissione ha adottato la proposta di regolamento che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'UE di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi (il cosiddetto "regolamento sulla cibersolidarietà"), unitamente a una proposta di modifica mirata del regolamento sulla cibersicurezza. Il regolamento sulla cibersicurezza, adottato nel 2019, ha istituito il primo quadro di certificazione della cibersicurezza per tutti gli Stati membri.

La prima proposta della Commissione introduce un "ciberscudo europeo", costituito da centri operativi (SOC) riuniti in diverse piattaforme multinazionali di SOC finanziate dal programma Europa digitale. La seconda proposta della Commissione intende apportare una modifica mirata all'ambito di applicazione del regolamento sulla cibersicurezza che consenta alla Commissione di adottare atti di esecuzione in merito ai sistemi di certificazione della cibersicurezza per i servizi di sicurezza gestiti, oltre che per i prodotti relativi alle tecnologie dell'informazione (TIC), i servizi TIC e i processi TIC, contemplati dal regolamento sulla cibersicurezza in vigore. Il 6 marzo 2024 i colegislatori hanno raggiunto un accordo provvisorio su entrambe le proposte, che modifica le nozioni di "ciberscudo europeo" e "SOC" rispetto alla proposta iniziale della Commissione.