Nuove norme per la cibersicurezza delle istituzioni UE

Il nuovo regolamento sulla cibersicurezza che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione è entrato in vigore ieri, 7 gennaio 2024.

Il regolamento stabilisce misure per l'istituzione di un quadro interno di gestione, governance e controllo dei rischi per la cibersicurezza per ciascun soggetto dell'Unione e istituisce un nuovo comitato interistituzionale per la cibersicurezza (IICB) per monitorarne e sostenerne l'attuazione da parte dei soggetti dell'Unione. Prevede un mandato ampliato della squadra di pronto intervento informatico per le istituzioni, gli organi e gli organismi dell'UE (CERT-UE), in quanto polo di intelligence sulle minacce, scambio di informazioni e coordinamento della risposta agli incidenti, un organo consultivo centrale e un fornitore di servizi. In linea con il suo mandato, il CERT-UE è rinominato servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell'Unione, ma mantiene il nome abbreviato "CERT-UE".

Prossime fasi

Seguendo il calendario definito nel regolamento, i soggetti dell'Unione istituiranno processi interni di governance della cibersicurezza e metteranno progressivamente in atto misure specifiche di gestione dei rischi di cibersicurezza previste dal regolamento. L'IICB sarà istituito e diventerà operativo quanto prima, con l'obiettivo di garantire l'orientamento strategico del CERT-UE nell'ambito del suo mandato esteso, fornire orientamenti e sostegno ai soggetti dell'Unione e monitorare l'attuazione del regolamento. 

Nella sua risoluzione del marzo 2021, il Consiglio dell'Unione europea ha sottolineato l'importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell'UE. In tale contesto, la Commissione ha annunciato la proposta di regolamento sulla cibersicurezza nel marzo 2022 e nel giugno 2023 il Parlamento europeo e il Consiglio hanno raggiunto un accordo politico.

Il presente regolamento si allinea agli obiettivi strategici della Commissione stabiliti dalla strategia dell'UE per l'Unione della sicurezza e dalla strategia dell'UE per la cibersicurezza e garantisce la coerenza con altre iniziative legislative nel settore:

•    La direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione ("NIS 2"), alla quale la presente normativa è allineata in termini di principi e livello di ambizione, nel rispetto delle specificità dei soggetti dell'Unione;

•    Il regolamento sulla cibersicurezza;

•    La raccomandazione della Commissione relativa a una risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala.

Il regolamento sulla cibersicurezza è stato presentato congiuntamente a una proposta di regolamento sulla sicurezza delle informazioni, che stabilisce norme e norme minime in materia di sicurezza delle informazioni per tutte le istituzioni, gli organi, gli uffici e le agenzie dell'UE.

La presente proposta mira a uno scambio sicuro di informazioni tra le istituzioni, gli organi e gli organismi dell'UE e con gli Stati membri, sulla base di pratiche e misure standardizzate per proteggere i flussi di informazioni. I negoziati tra i colegislatori su questa proposta non sono ancora iniziati.