Indra Cyber-Defence Command Cyber Security Cyberdefence
01 - PRIMA PAGINA03 - ISTITUZIONI

L’UE LAVORA A UN NUOVO REGOLAMENTO PER LA CIBERSICUREZZA

Redazione

La Commissione europea ha proposto un nuovo pacchetto sulla cibersicurezza per rafforzare ulteriormente la resilienza e le capacità dell’UE in materia di ciber-sicurezza di fronte all’aumento di tali minacce.

Il pacchetto comprende una proposta di revisione del regolamento sulla cibersicurezza che rafforza la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione – TIC dell’UE. Garantisce che i prodotti destinati ai cittadini dell’UE siano progettati per essere sicuri dal punto di vista informatico attraverso un processo di certificazione più semplice. Facilita inoltre il rispetto delle norme dell’UE vigenti in materia di cibersicurezza e rafforza l’Agenzia dell’Unione europea per la cibersicurezza – ENISA nel sostenere gli Stati membri e l’UE ai fini della gestione delle minacce informatiche.

“Le minacce alla cibersicurezza non sono solo sfide tecniche. Rappresentano rischi strategici per la nostra democrazia, la nostra economia e il nostro stile di vita – Ha spiegato Henna Virkkunen, Vicepresidente esecutiva per la Sovranità tecnologica, la sicurezza e la democrazia -. Con il nuovo pacchetto sulla cibersicurezza disporremo dei mezzi atti a proteggere meglio le nostre catene di approvvigionamento critiche delle TIC, ma anche a contrastare con decisione gli attacchi informatici. Si tratta di un passo importante per garantire la nostra sovranità tecnologica europea e una maggiore sicurezza per tutti”.

Il nuovo regolamento sulla cibersicurezza mira a ridurre i rischi nelle catene di approvvigionamento delle TIC dell’UE connessi a fornitori di paesi terzi che presentano criticità per quanto riguarda la cibersicurezza. Definisce un quadro affidabile per la sicurezza delle catene di approvvigionamento delle TIC che si fonda su un approccio armonizzato, proporzionato e basato sul rischio. In tal modo l’UE e gli Stati membri potranno individuare e attenuare congiuntamente i rischi nei 18 settori critici dell’UE, tenendo conto anche degli impatti economici e dell’offerta di mercato.

I recenti incidenti di sicurezza informatica hanno evidenziato i principali rischi posti dalle vulnerabilità nelle catene di approvvigionamento delle TIC, che sono fondamentali per il funzionamento di servizi e infrastrutture essenziali. Nell’attuale panorama geopolitico, la sicurezza delle catene di approvvigionamento non riguarda più solo la sicurezza tecnica di prodotti o servizi, ma anche i rischi connessi a un fornitore, in particolare le dipendenze e le ingerenze straniere.

Il regolamento sulla cibersicurezza consentirà di attuare l’imperativa riduzione dei rischi per le reti di telecomunicazioni mobili europee connessi a fornitori di paesi terzi ad alto rischio, sulla base del lavoro già svolto nell’ambito del pacchetto di strumenti per la sicurezza del 5G.

La revisione del regolamento sulla cibersicurezza garantirà che i prodotti e i servizi destinati ai consumatori dell’UE siano testati in modo più efficiente sotto il profilo della sicurezza grazie a un rinnovato quadro europeo di certificazione della cibersicurezza (ECCF). L’ECCF apporterà maggiore chiarezza e procedure più semplici, consentendo di sviluppare schemi di certificazione entro 12 mesi in ogni caso. Introdurrà inoltre una governance più agile e trasparente per coinvolgere meglio i portatori di interessi attraverso l’informazione e la consultazione pubblica.

I sistemi di certificazione, gestiti dall’ENISA, diventeranno uno strumento pratico e volontario per le imprese. Consentiranno alle imprese di dimostrare la conformità alla legislazione dell’UE, riducendo gli oneri e i costi. Oltre ai prodotti, ai servizi, ai processi e ai servizi di sicurezza gestiti basati sulle TIC, le imprese e le organizzazioni saranno in grado di certificare la loro posizione di cibersicurezza per soddisfare le esigenze del mercato. In ultima analisi, il nuovo ECCF costituirà un vantaggio competitivo per le imprese dell’UE. Per i cittadini, le imprese e le autorità pubbliche dell’UE garantirà un elevato livello di sicurezza e fiducia nelle complesse catene di approvvigionamento delle TIC.

Il pacchetto introduce misure volte a semplificare il rispetto delle norme dell’UE in materia di cibersicurezza e degli obblighi di gestione dei rischi per le imprese che operano nell’UE, integrando lo sportello unico per la segnalazione degli incidenti proposto nell’omnibus digitale. Le modifiche mirate della direttiva NIS 2 mirano ad aumentare la chiarezza giuridica. Agevoleranno la conformità per 28 700 imprese, tra cui 6 200 microimprese e piccole imprese. Introdurranno inoltre una nuova categoria di piccole imprese a media capitalizzazione nell’intento di ridurre i costi di conformità per 22 500 imprese. Le modifiche semplificheranno le norme giurisdizionali, snelliranno la raccolta di dati sugli attacchi ransomware e faciliteranno la vigilanza di soggetti operanti a livello transfrontaliero mediante il rafforzamento del ruolo di coordinamento dell’ENISA.

Dall’adozione del primo regolamento sulla cibersicurezza nel 2019, l’ENISA è diventata una pietra angolare dell’ecosistema della cibersicurezza dell’UE. Grazie al regolamento sulla cibersicurezza riveduto, presentato oggi, l’ENISA è in grado di aiutare l’UE e i suoi Stati membri a comprendere le minacce comuni. Inoltre dà loro la possibilità di prepararsi e di rispondere agli incidenti informatici.

L’Agenzia sosterrà ulteriormente le imprese e i portatori di interessi attivi nell’UE emettendo allerte tempestive su minacce e incidenti informatici. In collaborazione con l’Europol e i gruppi di intervento per la sicurezza informatica in caso di incidente, sosterrà le imprese sia in fase di risposta agli attacchi ransomware che di ripresa dopo tali attacchi. L’ENISA svilupperà inoltre un approccio dell’Unione per fornire ai portatori di interessi servizi migliori di gestione delle vulnerabilità e provvederà al funzionamento dello sportello unico per la segnalazione degli incidenti proposto nell’omnibus digitale.

L’ENISA continuerà a svolgere un ruolo chiave nel creare una forza lavoro qualificata nel settore della cibersicurezza in Europa. A tal fine guiderà l’iniziativa pilota dell’accademia per le competenze in materia di cibersicurezza e istituirà regimi di attestazione delle competenze di cibersicurezza a livello dell’UE.