Nuove norme per la cibersicurezza delle istituzioni UE
Nuove norme per la cibersicurezza delle istituzioni UE
Il nuovo regolamento sulla cibersicurezza che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione è entrato in vigore ieri, 7 gennaio 2024.
Il regolamento stabilisce misure per l'istituzione di un quadro interno di gestione, governance e controllo dei rischi per la cibersicurezza per ciascun soggetto dell'Unione e istituisce un nuovo comitato interistituzionale per la cibersicurezza (IICB) per monitorarne e sostenerne l'attuazione da parte dei soggetti dell'Unione. Prevede un mandato ampliato della squadra di pronto intervento informatico per le istituzioni, gli organi e gli organismi dell'UE (CERT-UE), in quanto polo di intelligence sulle minacce, scambio di informazioni e coordinamento della risposta agli incidenti, un organo consultivo centrale e un fornitore di servizi. In linea con il suo mandato, il CERT-UE è rinominato servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell'Unione, ma mantiene il nome abbreviato "CERT-UE".
Prossime fasi
Seguendo il calendario definito nel regolamento, i soggetti dell'Unione istituiranno processi interni di governance della cibersicurezza e metteranno progressivamente in atto misure specifiche di gestione dei rischi di cibersicurezza previste dal regolamento. L'IICB sarà istituito e diventerà operativo quanto prima, con l'obiettivo di garantire l'orientamento strategico del CERT-UE nell'ambito del suo mandato esteso, fornire orientamenti e sostegno ai soggetti dell'Unione e monitorare l'attuazione del regolamento.
Nella sua risoluzione del marzo 2021, il Consiglio dell'Unione europea ha sottolineato l'importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell'UE. In tale contesto, la Commissione ha annunciato la proposta di regolamento sulla cibersicurezza nel marzo 2022 e nel giugno 2023 il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico.
Il presente regolamento si allinea agli obiettivi strategici della Commissione stabiliti dalla strategia dell'UE per l'Unione della sicurezza e dalla strategia dell'UE per la cibersicurezza e garantisce la coerenza con altre iniziative legislative nel settore:
• La direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione ("NIS 2"), alla quale la presente normativa è allineata in termini di principi e livello di ambizione, nel rispetto delle specificità dei soggetti dell'Unione;
• Il regolamento sulla cibersicurezza;
• La raccomandazione della Commissione relativa a una risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala.
Il regolamento sulla cibersicurezza è stato presentato congiuntamente a una proposta di regolamento sulla sicurezza delle informazioni, che stabilisce norme e norme minime in materia di sicurezza delle informazioni per tutte le istituzioni, gli organi, gli uffici e le agenzie dell'UE.
La presente proposta mira a uno scambio sicuro di informazioni tra le istituzioni, gli organi e gli organismi dell'UE e con gli Stati membri, sulla base di pratiche e misure standardizzate per proteggere i flussi di informazioni. I negoziati tra i colegislatori su questa proposta non sono ancora iniziati.