Cybersecurity, in vigore il nuovo Regolamento per un livello comune di sicurezza delle istituzioni dell’UE
Poiché le minacce informatiche stanno diventando sempre più pervasive e gli aggressori informatici sono più sofisticati, il conseguimento di un elevato livello comune di cibersicurezza in tutti i soggetti dell’Unione è fondamentale per garantire un’amministrazione pubblica dell’UE aperta, efficiente, sicura e resiliente
Con queste parole il Commissario europeo per il Bilancio e l’amministrazione, Johannes Hahn,ha colto l’importanza di una governance istituzionale coordinata per fronteggiare le insidie del rischio cyber.
La tecnologia si conferma ormai, anche in ambito europeo, un apparato indispensabile per favorire un’amministrazione europea aperta, efficace ed indipendente.
Se il progressivo processo di digitalizzazione delle amministrazioni, d’insieme con il ricorso a strumenti ICT e cloud costituiscono aspetti ormai ricorrenti nelle attività istituzionali, la conseguente evoluzione tecnologica e la maggiore complessità e interconnessione dei sistemi digitali amplificano i rischi per la cibersicurezza, rendendo le istituzioni più vulnerabili alle minacce e agli incidenti informatici. Ciò rappresenta un serio pericolo per la loro continuità operativa e per la loro capacità di protezione dei dati detenuti.
Per raggiungere un livello comune elevato di cibersicurezza ed una gestione efficace dei rischi, è stato emanato lo scorso 13 dicembre 2023 il Regolamento Ue/2023/2841, che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell’Unione.
Il Regolamento europeo è entrato pienamente in vigore il 7 gennaio 2024, ed istituisce un quadro interno di gestione, governance e controllo dei rischi per la cibersicurezza che tenga conto della continuità operativa e della gestione delle crisi.
Per gestire i rischi per la cibersicurezza individuati nell’ambito del quadro, ciascun soggetto dell’Unione dovrebbe adottare misure tecniche, operative e organizzative adeguate e proporzionate.
Il regolamento sulla cibersicurezza è stato presentato congiuntamente a una Proposta di Regolamento sulla sicurezza delle informazioni, che stabilisce norme e norme minime in materia di sicurezza delle informazioni per tutte le istituzioni, gli organi, gli uffici e le agenzie dell’UE e con gli Stati membri, sulla base di pratiche e misure standardizzate per proteggere i flussi di informazioni.
Come precisato ulteriormente dal Commissario europeo Hahn, “Il regolamento rafforza la cibersicurezza dei soggetti dell’Unione e allinea l’amministrazione dell’UE alle norme imposte agli Stati membri, come la direttiva relativa a livelli comuni elevati di cibersicurezza in tutta l’Unione, nota anche come NIS 2. La rapida adozione del regolamento dimostra l’impegno dell’UE per il conseguimento di tali obiettivi. Invito ora i colegislatori ad avviare rapidamente i negoziati per il regolamento parallelo sulla sicurezza delle informazioni”.
Di seguito si proporranno le principali novità introdotte dal Regolamento.
Una nuova (ulteriore?) governance istituzionale
Il Regolamento fornisce interessanti innovazioni per la governance istituzionale, dedicandovi a tal fine i Capi III, IV e V.
Innanzitutto, il Capo IV mira a fornire una serie completa di norme sull’organizzazione, il funzionamento e l’operatività del CERT-UE, la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell’Unione Europea, superando le disposizioni dell’accordo interistituzionale sull’organizzazione e il funzionamento del CERT-UE concluso nel dicembre 2017.
In particolare, il CERT-UE è rinominato “Servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell’Unione”, ma dovrebbe comunque mantenere il nome abbreviato CERT-UE a fini di riconoscibilità del nome.
Il CERT-UE dovrebbe svolgere il ruolo ad esso assegnato nella Direttiva (UE)/2022/2555, per quanto riguarda la cooperazione e lo scambio di informazioni con la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (the Computer Security Incident Response Teams – CSIRT).
Inoltre, in linea con la Raccomandazione (EU)/2017/1584 della Commissione europea, il CERT-UE dovrebbe cooperare e coordinare una risposta con i portatori di interessi, nonché con l’ENISA. Più ampiamente, il CERT-UE dovrebbe avvalersi delle competenze disponibili dell’ENISA attraverso la cooperazione strutturata di cui al Regolamento (UE)/2019/881, al fine di evitare la duplicazione di attività.
Per contribuire a un livello comune elevato di cibersicurezza nell’Unione, il CERT-UE deve condividere con gli omologhi degli Stati membri informazioni specifiche sugli incidenti.
Oltre a conferire maggiori compiti e un ruolo più ampio al CERT-UE, il Regolamento istituisce al Capo III il Comitato interistituzionale per la cibersicurezza (Interinstitutional Cybersecurity Board – IICB), allo scopo di instaurare un livello comune elevato di cibersicurezza tra i soggetti dell’Unione ed istituirne un efficace coordinamento.
Come precisato dal Considerando n. 23, l’IICB (il cui effettivo funzionamento dovrebbe essere ulteriormente disciplinato da un regolamento interno) svolge funzioni di controllo, vigilanza e indirizzo, anche nei confronti del CERT-UE. Inoltre, dovrebbe svolgere un ruolo propulsivo volto a sostenere l’attuazione del Regolamento, adottando raccomandazioni ed incentivando l’intervento dei soggetti interessati.
Ai sensi dell’articolo 10, paragrafo 3, del Regolamento, l’IICB è composto da un rappresentante designato da ciascuno dei seguenti soggetti:
- il Parlamento europeo;
- il Consiglio europeo;
- il Consiglio dell’Unione europea;
- la Commissione;
- la Corte di giustizia dell’Unione europea;
- la Banca centrale europea;
- la Corte dei conti;
- il Servizio europeo per l’azione esterna;
- il Comitato economico e sociale europeo;
- il Comitato europeo delle regioni;
- la Banca europea per gli investimenti;
- il Centro europeo di competenza per la cibersicurezza nell’ambito industriale, tecnologico e della ricerca;
- l’ENISA;
- il Garante europeo della protezione dei dati (GEPD);
- l’Agenzia dell’Unione europea per il programma spaziale;
- tre rappresentanti designati dalla rete delle agenzie dell’Unione (EUAN) su proposta del suo comitato consultivo TIC.
Quanto alle funzioni, il Comitato dovrebbe:
- fornire orientamenti al direttore del CERT-UE,
- adottare una strategia pluriennale per innalzare il livello di cibersicurezza nei soggetti dell’Unione,
- stabilire la metodologia e altri aspetti delle valutazioni inter pares volontarie e
- facilitare l’istituzione di un gruppo informale di responsabili locali della cibersicurezza, con il sostegno dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA), al fine di scambiare migliori pratiche e informazioni in relazione all’attuazione del presente regolamento.
L’IICB dovrebbe altresì garantire la rappresentanza delle istituzioni dell’Unione e includere rappresentanti degli organi e degli organismi dell’Unione attraverso la rete delle agenzie dell’Unione europea (EU Agencies Network – EUAN).
Le misure per un livello comune elevato di cibersicurezza
Il Capo II del Regolamento dedica invece particolare attenzione alle misure per garantire un livello comune elevato di cibersicurezza, individuando precise tempistiche di adozione.
In particolare:
- Entro l’8 settembre 2024, l’IICB, previa consultazione dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e dopo aver ricevuto orientamenti dal CERT-UE, emana indirizzi destinati alle istituzioni europee, affinchè queste possano effettuare un riesame iniziale della cibersicurezza (articolo 6);
- Entro l’8 aprile 2025, queste dovranno istituire un quadro interno di gestione, di governance e di controllo dei rischi per la cibersicurezza a norma dell’articolo 7;
- Entro l’8 luglio 2025 e successivamente almeno ogni due anni, ciascun soggetto dell’Unione svolge una valutazione di maturità della cibersicurezza che comprende tutti gli elementi del proprio ambiente TIC (articolo 8);
- Entro l’8 settembre 2025, ogni soggetto dell’Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello di dirigenza più elevato, per gestire i rischi per la cibersicurezza individuati nell’ambito del quadro e per prevenire o ridurre al minimo l’impatto degli incidenti (articolo 9);
- Entro l’8 gennaio 2026, infine, a seguito della conclusione della valutazione di maturità della cibersicurezza e considerando le risorse e i rischi per la cibersicurezza individuati nell’ambito del quadro e le misure di gestione dei rischi per la cibersicurezza adottate, il livello di dirigenza più elevato di ogni soggetto dell’Unione approva un piano di cibersicurezza.
Di Alessia Palladino
Assegnista di ricerca e Cultore della Materia in «Informatica giuridica» e «Computer Law» presso l’Università degli Studi di Cagliari