Il 7 gennaio 2024 è entrato in vigore il recente regolamento sulla cybersicurezza, il quale ha l’obiettivo di stabilire misure finalizzate a garantire un elevato standard condiviso di sicurezza informatica nelle istituzioni, negli organi e negli organismi dell’Unione Europea. Il documento impone la creazione di un quadro interno per la gestione, governance e controllo dei rischi cibernetici in ogni entità dell’Unione e introduce il Comitato Interistituzionale per la Cybersicurezza (IICB) che supervisiona e supporta l’attuazione di tali misure. Il CERT-UE, ora ribattezzato come “Servizio per la Cybersicurezza delle Istituzioni, Organi e Organismi dell’Unione” ha ottenuto un mandato più ampio. Fungerà da polo di intelligence sulle minacce, facilitando lo scambio di informazioni e coordinando le risposte agli incidenti. Inoltre, l’IICB è stato istituito per fornire orientamento strategico al CERT-UE, supportare le entità dell’Unione e monitorare l’applicazione del regolamento.

In conformità al calendario stabilito, le entità dell’Unione implementeranno progressivamente processi interni di governance cibernetica e adotteranno le specifiche misure di gestione dei rischi prescritte dal regolamento. L’IICB sarà operativo il prima possibile, garantendo l’orientamento strategico del CERT-UE e fornendo supporto ai soggetti dell’Unione. Il Consiglio dell’Unione europea, nella sua risoluzione di marzo 2021, ha sottolineato l’importanza di un solido quadro di sicurezza per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell’UE. La proposta di regolamento sulla cybersicurezza è stata avanzata dalla Commissione nel marzo 2022, e nel giugno 2023, il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico.

Johannes Hahn, Commissario per il Bilancio e l’Amministrazione, ha dichiarato che, data la crescente pervasività delle minacce informatiche e la sofisticazione degli aggressori, raggiungere un elevato livello comune di cybersicurezza è cruciale per assicurare un’amministrazione pubblica dell’UE aperta, efficiente, sicura e resiliente. Il regolamento, secondo Hahn, rafforza la cibersicurezza delle entità dell’Unione, allineandole alle norme della direttiva NIS 2.

Complessivamente il testo del regolamento sottolinea la centralità della sicurezza cibernetica nell’Unione Europea, in risposta all’espansione dei vettori d’attacco connessi all’evoluzione tecnologica e all’uso diffuso delle Tecnologie dell’Informazione e della Comunicazione (TIC). La digitalizzazione avanzata, il lavoro remoto e l’innovazione tecnologica aumentano la vulnerabilità degli attori dell’Unione a minacce informatiche, mettendo a rischio la continuità operativa e la protezione dei dati. Il regolamento mira a costruire un quadro interno coerente di gestione, governance e controllo dei rischi cibernetici, promuovendo un approccio multirischio. La sua enfasi sulla comunicazione tra enti e il coordinamento sono in sintonia con la direttiva NIS 2, promuovendo piani di sicurezza informatica individuali e una valutazione comune delle piattaforme adottate. Particolare attenzione è riservata alla sicurezza dei sistemi informativi e delle reti gestite dall’Unione Europea che trattano informazioni classificate dell’Unione Europea (ICUE). Questi soggetti devono aderire a quadri normativi completi, con meccanismi di governance specifici, per garantire standard di sicurezza più elevati rispetto ai sistemi non classificati.

Il CERT-UE, ribattezzato come “Servizio per la cybersicurezza delle istituzioni, organi e organismi dell’Unione“, svolge un ruolo chiave nell’offrire consulenza tecnica specializzata e servizi pratici per migliorare la sicurezza informatica. L’Interinstitutional Cybersecurity Board (IICB) è istituito per fornire direzione strategica, supervisionare l’attuazione del regolamento e assicurare il rispetto da parte degli enti dell’Unione. L’IICB collabora strettamente con il CERT-UE per garantire un ambiente digitale sicuro e resiliente. In sintesi, il nuovo regolamento mira a proteggere le istituzioni dell’Unione Europea da minacce informatiche, promuovendo la collaborazione tra enti, l’adozione di misure proporzionate ai rischi e la creazione di un ambiente digitale sicuro e resiliente.

Visualizzazioni: 26