UE: rafforzare la cybersicurezza dei propri organi

UE: rafforzare la cybersicurezza dei propri organi

La Commissione UE ha accolto con favore l’accordo raggiunto da Parlamento e Consiglio UE sull’articolato per rafforzare la cybersicurezza nelle istituzioni, negli organi, negli uffici e nelle agenzie dell’UE

La proposta di Regolamento

La Commissione UE ha accolto con favore l’accordo politico raggiunto tra il Parlamento e il Consiglio dell’UE sul regolamento, proposto dalla stessa Commissione, dove si statuiscono misure atte a raggiungere un livello comune elevato di cybersicurezza in:

  • istituzioni,
  • organi,
  • organismi,

dell’Unione Europea.

I negoziati si sono quindi conclusi, in attesa che Parlamento e Consiglio procedano all’approvazione finale del testo.

In particolare, il Consiglio UE, nella risoluzione del marzo 2021, aveva evidenziato l’importanza di un quadro di sicurezza solido e coerente per proteggere tutto il personale, i dati, le reti di comunicazione, i sistemi informativi e i processi decisionali dell’UE.

Ciò può essere raggiunto solo maggiore una maggiore resilienza e una migliore cultura della sicurezza delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE. Pertanto, la Commissione, nel marzo 2022, aveva annunciato la proposta di regolamento sulla cybersicurezza, teso a istituire un quadro normativo per:

  • la governance,
  • la gestione dei rischi,
  • il controllo,

tra le entità dell’UE nell’ambito della cybersicurezza, anche tramite un nuovo comitato interistituzionale per la cybersicurezza per monitorarne l’attuazione.

CERT-UE

Lo schema normativo propone al contempo di prolungare inoltre il mandato di CERT-UE, squadra di risposta alle emergenze informatiche per le istituzioni, gli organi e gli organismi dell’UE, in quanto centro di coordinamento di informazioni sulle minacce, scambio di informazioni e risposta agli incidenti, organo consultivo centrale e fornitore di servizi.

CERT-EU verrà rinominato “Servizio di cybersicurezza per le istituzioni, gli organi, gli uffici e le agenzie dell’Unione” per rispecchiare il suo nuovo mandato, pur mantenendo l’abbreviazione CERT-EU ai fini del riconoscimento.

Highlights

Gli elementi chiave della proposta per tutte le istituzioni, gli organi e gli organismi dell’UE sono i seguenti:

  • Disporre di un quadro per la governance, la gestione dei rischi e il controllo nel settore della sicurezza informatica;
  • Condurre regolari valutazioni della maturità;
  • Attuare misure di sicurezza informatica per affrontare i rischi individuati;
  • Mettere in atto un piano per migliorare la loro sicurezza informatica;
  • Condividi le informazioni relative agli incidenti con CERT-EU senza indebiti ritardi.

Next steps

Quando il testo sarà finalizzato, Parlamento e Consiglio UE dovranno adottare formalmente il nuovo regolamento prima che possa entrare in vigore.

Gli enti sindacali saranno quindi tenuti ad adempiere agli obblighi e a rispettare le scadenze previste dall’articolato.

Ciò contribuirà a garantire livelli più elevati di sicurezza informatica nell’amministrazione dell’UE e sarà meglio preparata ad affrontare le sfide future.

Contesto normativo

A seguito della strategia dell’UE della sicurezza e della strategia dell’UE per la cybersicurezza, il regolamento in parola garantirà la coerenza con le attuali politiche dell’UE in ambito cybersicurezza, allineandosi con l’attuale disciplina positiva UE:

  • la direttiva recante misure per un livello comune elevato di cybersicurezza in tutta l’UE (“NIS 2”), alla quale questa normativa è allineata in termini di principi e livello di ambizione, nel rispetto delle specificità degli organismi UE;
  • la legge sulla sicurezza informatica;
  • la raccomandazione della Commissione sulla risposta coordinata agli incidenti e alle crisi di cybersicurezza su larga scala.