Regolamenti e Direttive UE: gli strumenti dell’Unione in tema di cybersecurity
Negli ultimi anni la produzione normativa in campo di sicurezza informatica è stata particolarmente intensa: soprattutto in Europa, infatti, sono stati approvati numerosi strumenti – per lo più Regolamenti e Direttive – tesi a disciplinare in modo dettagliato le tecnologie digitali e i loro effetti sulla società.
Vediamo in cosa consistano questi strumenti, esaminando in primo luogo il quadro giuridico e istituzionale entro cui vengono adottati e applicati.
Il Quadro Istituzionale per l’Adozione di Regolamenti e Direttive
Quali sono gli organi dell’Unione europea? Il processo legislativo comunitario, che porta all’adozione di Regolamenti e Direttive, è ripartito tra diverse istituzioni:
- Parlamento europeo, composto da 720 deputati eletti direttamente dai cittadini UE;
- Commissione europea, organo collegiale in cui siede un rappresentante per ogni paese UE;
- Consiglio dell’Unione europea, che riunisce (in formazioni diverse a seconda dell’argomento da discutere) i ministri di ciascun governo nazionale dell’Unione;
- Consiglio europeo, ove siedono i capi di Stato o di governo di tutti i paesi membri dell’UE.
Solo le prime tre istituzioni sono direttamente coinvolte nella proposta e nell’adozione di nuovi atti legislativi, mentre il Consiglio europeo è incaricato di definire l’orientamento politico generale e le priorità dell’Unione europea.
Vi sono poi organi che svolgono funzioni consultive o giudiziarie, quale la Corte di Giustizia UE, oltre a enti incaricati di vigilare sull’osservanza di principi e procedure da parte delle istituzioni come lo European Data Protection Board (EDPB), ossia il Garante europeo per la protezione dei dati personali.
Principi Fondamentali nell’Adozione di Regolamenti e Direttive UE
Sin dalla sua creazione, l’Unione Europea subordina l’esercizio dei propri poteri, inclusa l’adozione di Regolamenti e Direttive, ad alcuni principi comuni fondamentali.
Centrale è anzitutto il principio di leale cooperazione previsto dall’art. 4 del Trattato sul Funzionamento dell’Unione Europea (TFUE).
In base a tale principio, “l’Unione e gli Stati membri si rispettano e si assistono reciprocamente nell’adempimento dei compiti derivanti dai trattati.
Gli Stati membri adottano ogni misura di carattere generale o particolare atta ad assicurare l’esecuzione degli obblighi derivanti dai trattati […] facilitano all’Unione l’adempimento dei suoi compiti e si astengono da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell’Unione”.
Sempre a norma dell’art. 4, “la delimitazione delle competenze dell’Unione si fonda sul principio di attribuzione. L’esercizio di tali competenze si fonda sui principi di sussidiarietà e proporzionalità”.
Quali sono i principi che regolano l’attribuzione dei poteri UE?
In concreto, quindi:
- il principio di attribuzione circoscrive l’azione legislativa comunitaria alle competenze attribuite dai Trattati per realizzare gli obiettivi da questi stabiliti;
- il principio di sussidiarietà prevede che qualsiasi competenza non attribuita all’Unione appartenga agli Stati membri e che, nei settori che non sono di sua competenza esclusiva, l’UE intervenga soltanto se gli obiettivi previsti non possano essere sufficientemente raggiunti dai singoli Stati;
- il principio di proporzionalità, infine, impone all’UE di limitare i propri interventi a quanto necessario per il conseguimento degli obiettivi dei Trattati.
Tutte le istituzioni UE devono quindi conformarsi a tali principi, garantendone il rispetto al momento di proporre e adottare nuovi strumenti normativi, come pure di modificare atti già in vigore.
Tra questi, Regolamenti e Direttive sono gli strumenti più comunemente utilizzati per legiferare in materia di sicurezza informatica e tecnologie digitali.
Strumenti Giuridici Europei: Focus su Regolamenti e Direttive
Cosa sono gli strumenti giuridici europei?
Per “strumento giuridico” s’intende ogni mezzo tramite cui un’istituzione od organismo pubblico assolva alle funzioni di cui è incaricato.
Nel contesto comunitario, gli strumenti giuridici, in particolare Regolamenti e Direttive, sono enumerati dall’articolo 288 del TFUE e consistono in:
- Regolamenti;
- Direttive;
- Decisioni;
- Raccomandazioni e pareri.
Negli anni sono stati introdotti, per via ufficiale o nella prassi operativa, ulteriori strumenti normativi. Si tratta degli “atti non legislativi di portata generale” che il trattato di Lisbona consente di delegare alla Commissione per integrare o modificare elementi non essenziali degli atti legislativi; nonché dei cosiddetti “atti atipici” quali risoluzioni, comunicazioni, accordi interistituzionali e libri verdi o bianchi (Green o White Papers) rivolti a specifici settori.
Nel quadro della Politica Estera e di Sicurezza Comune (PESC) esistono poi strumenti giuridici specifici: ossia le “azioni” o “posizioni” adottate dall’UE in seno alle organizzazioni internazionali, come ad esempio le Nazioni Unite.
Soltanto le prime tre tipologie di strumenti – regolamenti, direttive e decisioni – integrano atti legislativi in senso stretto, con rilevanti effetti sulla loro applicabilità.
Regolamenti e Direttive: Caratteristiche e Differenze
Regolamenti UE: Applicabilità Immediata
I regolamenti sono atti giuridici vincolanti, caratterizzati dalla loro immediata applicabilità in tutti gli Stati membri dell’Unione.
A partire dalla sua entrata in vigore, inoltre, l’effettività di un regolamento può essere direttamente invocata da ogni cittadino europeo.
Vista la sua immediata applicabilità, di solito il regolamento è l’atto con cui l’Europa sceglie di intervenire quando mira a disciplinare in tutti i suoi aspetti un tema particolarmente rilevante: ne sono esempi il GDPR del 2016, il Regolamento UE sulla cybersecurity o l’Artificial Intelligence Act (AIA), approvato nella primavera del 2024.
Direttive Europee: Obiettivi Comuni, Implementazione Flessibile
Le direttive sono atti giuridici mirati a stabilire un obiettivo che tutti i paesi dell’UE devono conseguire, fissando i tempi ma non le specifiche misure tramite cui raggiungerlo.
Diversamente dai regolamenti, più che a introdurre direttamente una nuova disciplina le direttive UE mirano ad armonizzare le normative nazionali in un certo argomento o settore nei diversi Stati, lasciando a questi ultimi libera scelta rispetto alla tipologia di atti da adottare e alle procedure da istituire a tale scopo.
Un esempio è individuabile nelle direttive NIS e NIS2 (Network and Information Security), adottate rispettivamente nel 2016 e nel 2022 al fine di individuare gli obiettivi salienti per la costruzione di ambienti digitali sicuri e resilienti nel contesto europeo.
Qual è la differenza tra Regolamenti e Direttive in ambito europeo?
La principale differenza tra regolamenti e direttive riguarda quindi l’applicabilità in concreto: i primi sono integralmente e immediatamente efficaci in tutti gli Stati UE, mentre le seconde richiedono ulteriori passaggi per la loro ricezione nei vari paesi membri dell’Unione.
I regolamenti sono poi caratterizzati dalla cosiddetta “efficacia orizzontale” indicando così la possibilità che un singolo possa invocare una norma europea, già a partire dalla sua approvazione, nei confronti di un altro singolo.
Per le direttive si parla invece di “efficacia verticale” in quanto le disposizioni in esse contenute, fintanto che non siano recepite dagli Stati, possono essere invocate solo nei confronti delle istituzioni (nazionali o comunitarie) ma non anche tra comuni cittadini.
Al netto di tali distinzioni, regolamenti e direttive sono entrambi atti legislativi mediante cui il diritto interno dell’UE viene sempre più integrato per creare un quadro di principi e normative che agevoli gli scambi nel mercato interno e che, soprattutto, rafforzi la cultura giuridica comune del continente europeo.
Se tali scopi appaiono ambiziosi – e talvolta irraggiungibili – in ambiti già fortemente normativizzati, il mondo della cybersecurity offre maggiori possibilità di intervento. Molte delle tecnologie oggi in uso sono emerse solo recentemente e nella maggior parte degli Stati non esiste, pertanto, alcuna disciplina da modificare o armonizzare.
Regolamenti e Direttive nella Cybersecurity
Nel campo della sicurezza informatica, l’UE fa ampio uso di Regolamenti e Direttive. La scelta tra questi due strumenti dipende dagli obiettivi specifici:
- I Regolamenti sono preferiti quando si mira a una disciplina uniforme e rapida, come nel caso del GDPR o dell’Artificial Intelligence Act.
- Le Direttive sono utilizzate quando si vuole lasciare agli Stati membri una certa flessibilità nell’implementazione, come nel caso delle direttive NIS e NIS2.
Guardando al futuro, è chiaro che Regolamenti e Direttive continueranno a svolgere un ruolo cruciale nell’evoluzione del quadro normativo europeo in materia di sicurezza informatica. La loro importanza crescerà ulteriormente man mano che nuove tecnologie emergono e le minacce cyber si intensificano.
In conclusione, la comprensione approfondita di come Regolamenti e Direttive operano e interagiscono è essenziale non solo per i legislatori e i professionisti del settore, ma per tutti i cittadini europei. Questi strumenti giuridici, infatti, plasmano il modo in cui interagiamo con la tecnologia, proteggiamo i nostri dati e costruiamo un futuro digitale sicuro e resiliente per l’Europa.