La Commissione UE ha proposto nuove norme per stabilire misure comuni in materia di cybersecurity e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE e rafforzare le capacità di risposta agli incidenti e minacce informatiche, come pure a garantire la sicurezza delle informazioni nella pubblica amministrazione dell’UE in un contesto di crescenti attività informatiche dolose nel panorama globale.
Nel contesto della pandemia di COVID-19 e delle crescenti sfide geopolitiche, un approccio comune alla cybersecurity e alla sicurezza delle informazioni è imprescindibile. Alla luce di ciò la Commissione il 22 marzo 2022 ha proposto un regolamento sulla cybersecurity e un regolamento sulla sicurezza delle informazioni. Stabilendo priorità e quadri comuni, tali norme rafforzeranno ulteriormente la cooperazione interistituzionale, ridurranno al minimo l’esposizione ai rischi e consolideranno la cultura della sicurezza dell’UE.
Regolamento sulla cybersecurity
Il proposto regolamento sulla cybersecurity introdurrà un quadro di gestione, di governance e di controllo dei rischi nel settore della cybersecurity. Porterà alla creazione di un nuovo comitato interistituzionale per la cybersecurity, accrescerà le capacità in materia di cybersecurity, e incentiverà periodiche valutazioni di maturità e una maggiore igiene informatica. Amplierà inoltre il mandato della squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell’UE (CERT-EU), che fungerà da piattaforma di intelligence relativa alle minacce, di scambio di informazioni sulla cybersecurity e di coordinamento della risposta in caso di incidenti, da organo consultivo centrale e da prestatore di servizi.
Elementi chiave della proposta di regolamento sulla cybersecurity:
- Rafforzare il mandato del CERT-UE e fornire le risorse necessarie per il suo assolvimento
- Esigere che tutte le istituzioni, gli organi e gli organismi dell’UE:
- si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cybersecurity;
- attuino una base di riferimento per le misure di cybersecurity per affrontare i rischi individuati;
- effettuino periodicamente valutazioni di maturità;
- predispongano un piano di miglioramento della propria cybersecurity, approvato dalla loro dirigenza;
- condividano senza indebito ritardo con il CERT-UE le informazioni relative agli incidenti.
- Istituire un nuovo comitato interistituzionale per la cybersecurity per guidare e monitorare l’attuazione del regolamento e per indirizzare il CERT-EU
- Rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cybersecurity” in linea con gli sviluppi negli Stati membri e a livello globale, pur mantenendo l’abbreviazione CERT-UE per il riconoscimento del nome.
Regolamento sulla sicurezza delle informazioni
Il proposto regolamento sulla sicurezza delle informazioni creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell’UE, per garantire una protezione rafforzata e uniforme contro l’evoluzione delle minacce alle informazioni. Queste nuove norme costituiranno un terreno stabile per uno scambio sicuro di informazioni tra le istituzioni, gli organi e gli organismi dell’UE e con gli Stati membri, in base a pratiche e misure standardizzate per proteggere i flussi di informazioni.
Elementi chiave della proposta di regolamento sulla sicurezza delle informazioni:
- Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell’UE, in particolare un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni
- Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
- Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto
- Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.
Sito internet: Commissione Europea – Rappresentanza in Italia
Documentazione
Strategia dell’UE per la cybersecurity
Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS)
Regolamento sulla cybersecurity
Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello elevato di cybersecurity nelle istituzioni, negli organi e negli organismi dell’Unione
Proposta di regolamento del Parlamento europeo e del Consiglio sulla sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’Unione (N.B.: non ancora disponibile)