La Commissione ha proposto oggi nuove norme per stabilire misure comuni in materia di cibersicurezza e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE. La proposta è volta a rafforzare le capacità di resilienza e di risposta di questi soggetti rispetto agli incidenti e alle minacce informatiche, come pure a garantire la resilienza e la sicurezza della pubblica amministrazione dell'UE in un contesto di crescenti attività informatiche dolose nel panorama globale.
Johannes Hahn, Commissario per il Bilancio e l'amministrazione, ha dichiarato: “In un ambiente connesso, un singolo incidente di cibersicurezza può incidere su un'intera organizzazione. Per questo motivo è fondamentale costruire un solido scudo contro le minacce informatiche e gli incidenti informatici che potrebbero perturbare la nostra capacità di agire. I regolamenti che stiamo proponendo oggi sono una pietra miliare nel panorama della cibersicurezza e della sicurezza delle informazioni dell’UE. Sono basati su una cooperazione rafforzata e sul sostegno reciproco tra le istituzioni, gli organi e gli organismi dell’UE, e sul coordinamento della preparazione e della risposta. Si tratta di un vero e proprio sforzo collettivo a livello dell’UE.”
Nel contesto della pandemia di COVID-19 e delle crescenti sfide geopolitiche, un approccio comune alla cibersicurezza e alla sicurezza delle informazioni è imprescindibile. Alla luce di ciò la Commissione ha proposto un regolamento sulla cibersicurezza e un regolamento sulla sicurezza delle informazioni. Stabilendo priorità e quadri comuni, tali norme rafforzeranno ulteriormente la cooperazione interistituzionale, ridurranno al minimo l'esposizione ai rischi e consolideranno la cultura della sicurezza dell’UE.
Regolamento sulla cibersicurezza
Il proposto regolamento sulla cibersicurezza introdurrà un quadro di gestione, di governance e di controllo dei rischi nel settore della cibersicurezza. Porterà alla creazione di un nuovo comitato interistituzionale per la cibersicurezza, accrescerà le capacità in materia di cibersicurezza, e incentiverà periodiche valutazioni di maturità e una maggiore igiene informatica. Amplierà inoltre il mandato della squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell’UE (CERT-EU), che fungerà da piattaforma di intelligence relativa alle minacce, di scambio di informazioni sulla cibersicurezza e di coordinamento della risposta in caso di incidenti, da organo consultivo centrale e da prestatore di servizi.
Elementi chiave della proposta di regolamento sulla cibersicurezza:
- Rafforzare il mandato del CERT-UE e fornire le risorse necessarie per il suo assolvimento
- Esigere che tutte le istituzioni, gli organi e gli organismi dell’UE:
- si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cibersicurezza;
- attuino una base di riferimento per le misure di cibersicurezza per affrontare i rischi individuati;
- effetuino periodicamente valutazioni di maturità;
- predispongano un piano di miglioramento della propria cibersicurezza, approvato dalla loro dirigenza;
- condividano senza indebito ritardo con il CERT-UE le informazioni relative agli incidenti.
- Istituire un nuovo comitato interistituzionale per la cibersicurezza per guidare e monitorare l’attuazione del regolamento e per indirizzare il CERT-EU
- Rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cibersicurezza” in linea con gli sviluppi negli Stati membri e a livello globale, pur mantenendo l’abbreviazione CERT-UE per il riconoscimento del nome.
Regolamento sulla sicurezza delle informazioni
Il proposto regolamento sulla sicurezza delle informazioni creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell’UE, per garantire una protezione rafforzata e uniforme contro l'evoluzione delle minacce alle informazioni. Queste nuove norme costituiranno un terreno stabile per uno scambio sicuro di informazioni tra le istituzioni, gli organi e gli organismi dell’UE e con gli Stati membri, in base a pratiche e misure standardizzate per proteggere i flussi di informazioni.
Elementi chiave della proposta di regolamento sulla sicurezza delle informazioni:
- Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell’UE, in particolare un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni
- Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
- Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto
- Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.
Contesto
Nella sua risoluzione del marzo 2021, il Consiglio dell’Unione europea ha sottolineato l'importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell'UE. Ciò può essere realizzato solo rafforzando la resilienza e migliorando la cultura della sicurezza delle istituzioni, negli organi e negli organismi dell'UE.
Dando seguito alla strategia dell’UE per l'Unione della sicurezza e alla strategia dell'UE per la cibersicurezza, , il regolamento sulla cibersicurezza proposto in data odierna garantirà coerenza con le politiche dell’UE esistenti in materia di cibersicurezza, in piena conformità con la vigente legislazione europea:
- la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) e la futura direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione(”NIS 2”), che la Commissione ha proposto nel dicembre 2020;
- il regolamento sulla cibersicurezza;
- la raccomandazione della Commissione sull'istituzione di un'unità congiunta per il ciberspazio;
- la raccomandazione della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala.
Considerata la quantità sempre maggiore di informazioni sensibili non classificate e classificate UE trattate dalle istituzioni, dagli organi e dagli organismi dell’UE, il proposto regolamento sulla sicurezza delle informazioni mira ad aumentare la protezione delle informazioni razionalizzando i vari quadri giuridici delle istituzioni, organi e organismi dell’Unione in tale settore. La proposta è in linea con:
- la strategia dell’UE per l'Unione della sicurezza, che include un ampio impegno dell’UE a integrare gli sforzi degli Stati membri in tutti i settori della sicurezza;
- l’elemento fondamentale dell’agenda strategica 2019-2024, adottata dal Consiglio europeo nel giugno 2019, che consiste nel proteggere le nostre società dalle minacce, in continua evoluzione, che incombono sulle informazioni trattate dalle istituzioni, dagli organi e dalle agenzie dell’UE;
- le conclusioni del Consiglio “Affari generali” del dicembre 2019, che esortano le istituzioni, gli organi e le agenzie dell’UE, con il sostegno degli Stati membri, a elaborare e a mettere in pratica un insieme completo di misure destinate a garantire la loro sicurezza.
Per ulteriori informazioni
Proposta di regolamento del Parlamento europeo e del Consiglio sulla sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'Unione
Dettagli
- Data di pubblicazione
- 22 marzo 2022
- Autore
- Rappresentanza in Italia