Regolamento UE sulla cybersecurity: un nuovo step nella strategia per la sicurezza dello spazio digitale comunitario
Poche settimane fa è entrato in vigore il Regolamento 2023/2841 del Parlamento europeo e del Consiglio, che stabilisce “misure volte a conseguire un livello comune elevato di cibersicurezza nei soggetti dell’Unione con riferimento:
- alla definizione da parte di ciascun soggetto dell’Unione di un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza;
- alla gestione e alla segnalazione dei rischi per la cibersicurezza e alla condivisione delle informazioni;
- all’organizzazione, al funzionamento e all’operatività del comitato interistituzionale per la cibersicurezza istituito a norma dell’articolo 10, nonché all’organizzazione, al funzionamento e all’operatività del servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell’Unione (CERT-UE);
- al controllo dell’attuazione del presente regolamento.
Vediamo più in dettaglio cosa comporta la nuova disciplina.
Cybersecurity, il quadro normativo europeo
Il Regolamento si inserisce in un lungo percorso lungo il quale le istituzioni UE hanno inteso definire una disciplina comune in tema di sicurezza informatica, resilienza digitale e protezione dei dati personali.
I più recenti passaggi di questo iter hanno visto, nel 2022, l’entrata in vigore della Direttiva n. 2555 sulle misure di cybersecurity nell’Unione (NIS2) e del Digital Operational Resilience Act (DORA) nonché, all’inizio del 2023, del Cyber Resilience Act (CRA).
Considerate la rapidissima evoluzione tecnologica e la circostanza che “il panorama delle minacce informatiche che pesano sui soggetti dell’Unione è in costante divenire”, il legislatore ha perciò deciso di integrare ulteriormente il quadro vigente nell’ottica di una più efficace protezione dello spazio digitale europeo, partendo dai soggetti che operano al suo interno.
Principali novità del Regolamento: l’IICB
In apertura del testo si richiama il principio di trasparenza già alla base del GDPR (approvato nell’ormai lontano 2016) per auspicare la diffusione di strumenti e applicazioni open source, che consentirebbero una maggiore “security through transparency”.
Si ricorda poi come garantire la sicurezza informatica sia “un processo continuo” e si esplicita così l’intento di individuare, più che delle regole fisse, dei processi ottimali di condivisione, consolidamento e costante aggiornamento delle politiche di cybersecurity attualmente osservate dagli organismi europei.
Oltre ad ampliare le competenze del CERT-UE invitandolo a rafforzare lo scambio di informazioni con la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), il Regolamento introduce infatti un nuovo soggetto: il comitato interistituzionale per la cibersicurezza, o Interinstitutional Cybersecurity Board (IICB).
Il comitato nasce per “contribuire all’instaurarsi di un livello comune elevato di cibersicurezza tra i soggetti dell’Unione, l’IICB dovrebbe […] vigilare sull’attuazione delle priorità e degli obiettivi generali da parte del CERT-UE, nonché fornire a tale centro di una direzione strategica”.
All’IICB, che vedrà tra i propri membri rappresentanti delle istituzioni comunitarie e delle principali Agenzie dell’Unione, spetterà il compito di individuare “una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti dell’Unione […] e facilitare l’istituzione di un gruppo informale di responsabili locali della cibersicurezza, con il sostegno dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA), al fine di scambiare migliori pratiche e informazioni in relazione all’attuazione del presente regolamento”; ciò, ad esempio, raccomandando e supervisionando lo svolgimento di audit o valutazioni di maturità circa la sicurezza interni ai diversi organismi dell’Unione.
Le nuove regole per la gestione dei cyber attacchi
Il Regolamento sottolinea che attualmente “molti attacchi informatici fanno parte di campagne più ampie rivolte contro gruppi di soggetti dell’Unione o comunità di interesse che comprendono i soggetti dell’Unione”, ribadendo l’importanza “dello scambio di informazioni, del coordinamento e della cooperazione dei soggetti dell’Unione in caso di incidenti gravi, compresa una chiara individuazione dei ruoli e delle responsabilità”.
Interviene perciò anche sulle procedure di segnalazione degli attacchi, stabilendo “un approccio in più fasi alla segnalazione degli incidenti significativi, al fine di trovare il giusto equilibrio tra una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione […] e una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la ciberresilienza dei singoli soggetti dell’Unione”, così contribuendo ad aumentarne la sicurezza complessiva sul piano cyber.
Con la rilevante eccezione dei “sistemi informativi e di rete che trattano informazioni classificate dell’Unione (ICUE)”, i quali restano tenuti ad applicare norme di sicurezza specifiche e più rigorose rispetto ai sistemi non classificati, il Regolamento introduce quindi significative novità per l’innalzamento dei livelli di sicurezza degli organi comunitari.
Alla normativa di dettaglio spetterà, poi, disciplinare il funzionamento in concreto dei soggetti di nuova istituzione come l’IICB nonché prevedere tempi e modalità degli aggiornamenti al Regolamento stesso.
Poiché nel quadro di riferimento comunitario rientra anche il piano d’azione dell’UE (noto come “bussola strategica”) per rafforzare la propria politica di difesa – anche digitale – entro il 2030, è certo che prima di tale scadenza saranno adottati ulteriori provvedimenti tesi a consolidare ed espandere la cornice normativa europea sulla sicurezza cyber.
A cura della Redazione