{"id":364,"date":"2024-01-15T17:26:35","date_gmt":"2024-01-15T16:26:35","guid":{"rendered":"https:\/\/sites.unica.it\/ict4lawforensics\/?p=364"},"modified":"2025-09-15T10:33:12","modified_gmt":"2025-09-15T08:33:12","slug":"cybersecurity-in-vigore-il-nuovo-regolamento-per-un-livello-comune-di-sicurezza-delle-istituzioni-dellue","status":"publish","type":"post","link":"https:\/\/sites.unica.it\/ict4lawforensics\/2024\/01\/15\/cybersecurity-in-vigore-il-nuovo-regolamento-per-un-livello-comune-di-sicurezza-delle-istituzioni-dellue\/","title":{"rendered":"Cybersecurity, in vigore il nuovo Regolamento per un livello comune di sicurezza delle istituzioni dell’UE"},"content":{"rendered":"\n
\n

<\/p>\nPoich\u00e9 le minacce informatiche stanno diventando sempre pi\u00f9 pervasive e gli aggressori informatici sono pi\u00f9 sofisticati, il conseguimento di un elevato livello comune di cibersicurezza in tutti i soggetti dell’Unione \u00e8 fondamentale per garantire un’amministrazione pubblica dell’UE aperta, efficiente, sicura e resiliente<\/em><\/cite><\/blockquote>\n\n\n\n

Con queste parole il Commissario europeo per il Bilancio e l\u2019amministrazione, Johannes Hahn<\/strong>,ha colto l\u2019importanza di una governance istituzionale coordinata per fronteggiare le insidie del rischio cyber.<\/p>\n\n\n\n

La tecnologia si conferma ormai, anche in ambito europeo, un apparato indispensabile per favorire un\u2019amministrazione europea aperta, efficace ed indipendente.<\/p>\n\n\n\n

Se il progressivo processo di digitalizzazione delle amministrazioni<\/strong>, d\u2019insieme con il ricorso a strumenti ICT e cloud costituiscono aspetti ormai ricorrenti nelle attivit\u00e0 istituzionali, la conseguente evoluzione tecnologica e la maggiore complessit\u00e0 e interconnessione dei sistemi digitali amplificano i rischi<\/strong> per la cibersicurezza, rendendo le istituzioni pi\u00f9 vulnerabili<\/strong> alle minacce e agli incidenti informatici. Ci\u00f2 rappresenta un serio pericolo per la<\/strong> loro continuit\u00e0 operativa<\/strong> e per la loro capacit\u00e0 di protezione dei dati<\/strong> detenuti.<\/p>\n\n\n\n

Per raggiungere un livello comune elevato di cibersicurezza<\/em> ed una gestione efficace dei rischi,  \u00e8 stato emanato lo scorso 13 dicembre 2023 il Regolamento<\/a><\/strong> Ue\/2023\/2841<\/strong>, che stabilisce misure per un livello comune elevato di cibersicurezza<\/strong> nelle istituzioni, negli organi e negli organismi dell\u2019Unione.<\/p>\n\n\n\n

Il Regolamento europeo \u00e8 entrato pienamente in vigore il 7 gennaio 2024<\/strong>, ed istituisce un quadro interno di gestione, governance e controllo dei rischi per la cibersicurezza<\/strong> che tenga conto della continuit\u00e0 operativa e della gestione delle crisi. <\/p>\n\n\n\n

Per gestire i rischi per la cibersicurezza individuati nell’ambito del quadro, ciascun soggetto dell\u2019Unione dovrebbe adottare misure tecniche, operative e organizzative adeguate e proporzionate. <\/p>\n\n\n\n

Il regolamento sulla cibersicurezza \u00e8 stato presentato congiuntamente a una Proposta<\/a> di Regolamento sulla sicurezza delle informazioni,<\/strong> che stabilisce norme e norme minime in materia di sicurezza delle informazioni per tutte le istituzioni, gli organi, gli uffici e le agenzie dell’UE e con gli Stati membri, sulla base di pratiche e misure standardizzate per proteggere i flussi di informazioni.<\/p>\n\n\n\n

Come precisato ulteriormente dal Commissario europeo Hahn<\/strong>, \u201cIl regolamento rafforza la cibersicurezza dei soggetti dell’Unione e allinea l’amministrazione dell’UE alle norme imposte agli Stati membri, come la direttiva relativa a livelli comuni elevati di cibersicurezza in tutta l’Unione, nota anche come NIS 2. La rapida adozione del regolamento dimostra l’impegno dell’UE per il conseguimento di tali obiettivi. Invito ora i colegislatori ad avviare rapidamente i negoziati per il regolamento parallelo sulla sicurezza delle informazioni\u201d<\/em>.<\/p>\n\n\n\n

Di seguito si proporranno le principali novit\u00e0 introdotte dal Regolamento. <\/p>\n\n\n\n

Una nuova (ulteriore?) governance istituzionale<\/em><\/strong><\/h2>\n\n\n\n

Il Regolamento fornisce interessanti innovazioni per la governance istituzionale, dedicandovi a tal fine i Capi III, IV e V<\/strong>.<\/p>\n\n\n\n

Innanzitutto, il Capo IV<\/strong> mira a fornire una serie completa di norme <\/strong>sull\u2019organizzazione, il funzionamento e l’operativit\u00e0 del CERT-UE<\/a><\/strong>, la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie dell\u2019Unione Europea, superando le disposizioni dell’accordo interistituzionale sull’organizzazione e il funzionamento del CERT-UE concluso nel dicembre 2017.<\/p>\n\n\n\n

In particolare, il CERT-UE \u00e8 rinominato \u201cServizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell\u2019Unione<\/em><\/strong>\u201d, ma dovrebbe comunque mantenere il nome abbreviato CERT-UE a fini di riconoscibilit\u00e0 del nome.<\/p>\n\n\n\n

Il CERT-UE dovrebbe svolgere il ruolo ad esso assegnato nella Direttiva (UE)\/2022\/2555,<\/strong> per quanto riguarda la cooperazione e lo scambio di informazioni <\/strong>con la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (the Computer Security Incident Response Teams<\/em> \u2013 CSIRT<\/strong>).<\/p>\n\n\n\n

Inoltre, in linea con la Raccomandazione (EU)\/2017\/1584<\/strong> della Commissione europea, il CERT-UE dovrebbe cooperare e coordinare una risposta con i portatori di interessi, nonch\u00e9 con l\u2019ENISA<\/strong>. Pi\u00f9 ampiamente, il CERT-UE dovrebbe avvalersi delle competenze disponibili dell’ENISA attraverso la cooperazione strutturata di cui al Regolamento (UE)\/2019\/881<\/strong>, al fine di evitare la duplicazione di attivit\u00e0.<\/p>\n\n\n\n

Per contribuire a un livello comune elevato di cibersicurezza nell’Unione, il CERT-UE deve condividere con gli omologhi degli Stati membri informazioni specifiche sugli incidenti.<\/p>\n\n\n\n

Oltre a conferire maggiori compiti e un ruolo pi\u00f9 ampio al CERT-UE, il Regolamento istituisce al Capo III<\/strong> il Comitato interistituzionale per la cibersicurezza<\/strong> (Interinstitutional Cybersecurity Board \u2013 IICB<\/strong><\/em>), allo scopo di instaurare un livello comune elevato di cibersicurezza<\/strong> tra i soggetti dell’Unione ed istituirne un efficace coordinamento.<\/p>\n\n\n\n

Come precisato dal Considerando n. 23<\/strong>, l\u2019IICB<\/strong> (il cui effettivo funzionamento dovrebbe essere ulteriormente disciplinato da un regolamento interno) svolge funzioni di controllo, vigilanza e indirizzo<\/em><\/strong>, anche nei confronti del CERT-UE. Inoltre, dovrebbe svolgere un ruolo propulsivo volto a sostenere l\u2019attuazione del Regolamento, adottando raccomandazioni ed incentivando l\u2019intervento dei soggetti interessati.<\/p>\n\n\n\n

Ai sensi dell\u2019articolo 10, paragrafo 3, <\/strong>del Regolamento, l’IICB \u00e8 composto da un rappresentante designato da ciascuno dei seguenti soggetti:<\/p>\n\n\n\n