La Commissione ha proposto oggi nuove norme per stabilire misure comuni in materia di cibersicurezza e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE. La proposta è volta a rafforzare le capacità di resilienza e di risposta di questi soggetti rispetto agli incidenti e alle minacce informatiche, come pure a garantire la resilienza e la sicurezza della pubblica amministrazione dell’UE in un contesto di crescenti attività informatiche dolose nel panorama globale.
Johannes Hahn, Commissario per il Bilancio e l’amministrazione, ha dichiarato: “In un ambiente connesso, un singolo incidente di cibersicurezza può incidere su un’intera organizzazione. Per questo motivo è fondamentale costruire un solido scudo contro le minacce informatiche e gli incidenti informatici che potrebbero perturbare la nostra capacità di agire. I regolamenti che stiamo proponendo oggi sono una pietra miliare nel panorama della cibersicurezza e della sicurezza delle informazioni dell’UE. Sono basati su una cooperazione rafforzata e sul sostegno reciproco tra le istituzioni, gli organi e gli organismi dell’UE, e sul coordinamento della preparazione e della risposta. Si tratta di un vero e proprio sforzo collettivo a livello dell’UE.”
Nel contesto della pandemia di COVID-19 e delle crescenti sfide geopolitiche, un approccio comune alla cibersicurezza e alla sicurezza delle informazioni è imprescindibile. Alla luce di ciò la Commissione ha proposto un regolamento sulla cibersicurezza e un regolamento sulla sicurezza delle informazioni. Stabilendo priorità e quadri comuni, tali norme rafforzeranno ulteriormente la cooperazione interistituzionale, ridurranno al minimo l’esposizione ai rischi e consolideranno la cultura della sicurezza dell’UE.
Regolamento sulla cibersicurezza
Il proposto regolamento sulla cibersicurezza introdurrà un quadro di gestione, di governance e di controllo dei rischi nel settore della cibersicurezza. Porterà alla creazione di un nuovo comitato interistituzionale per la cibersicurezza, accrescerà le capacità in materia di cibersicurezza, e incentiverà periodiche valutazioni di maturità e una maggiore igiene informatica. Amplierà inoltre il mandato della squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell’UE (CERT-EU), che fungerà da piattaforma di intelligence relativa alle minacce, di scambio di informazioni sulla cibersicurezza e di coordinamento della risposta in caso di incidenti, da organo consultivo centrale e da prestatore di servizi.
Elementi chiave della proposta di regolamento sulla cibersicurezza:
- Rafforzare il mandato del CERT-UE e fornire le risorse necessarie per il suo assolvimento
- Esigere che tutte le istituzioni, gli organi e gli organismi dell’UE:
- si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cibersicurezza;
- attuino una base di riferimento per le misure di cibersicurezza per affrontare i rischi individuati;
- effettuino periodicamente valutazioni di maturità;
- predispongano un piano di miglioramento della propria cibersicurezza, approvato dalla loro dirigenza;
- condividano senza indebito ritardo con il CERT-UE le informazioni relative agli incidenti.
- Istituire un nuovo comitato interistituzionale per la cibersicurezza per guidare e monitorare l’attuazione del regolamento e per indirizzare il CERT-EU
- Rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cibersicurezza” in linea con gli sviluppi negli Stati membri e a livello globale, pur mantenendo l’abbreviazione CERT-UE per il riconoscimento del nome.
Regolamento sulla sicurezza delle informazioni
Il proposto regolamento sulla sicurezza delle informazioni creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell’UE, per garantire una protezione rafforzata e uniforme contro l’evoluzione delle minacce alle informazioni. Queste nuove norme costituiranno un terreno stabile per uno scambio sicuro di informazioni tra le istituzioni, gli organi e gli organismi dell’UE e con gli Stati membri, in base a pratiche e misure standardizzate per proteggere i flussi di informazioni.
Elementi chiave della proposta di regolamento sulla sicurezza delle informazioni:
- Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell’UE, in particolare un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni
- Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
- Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto
- Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.
Contesto
Nella sua risoluzione del marzo 2021, il Consiglio dell’Unione europea ha sottolineato l’importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell’UE. Ciò può essere realizzato solo rafforzando la resilienza e migliorando la cultura della sicurezza delle istituzioni, negli organi e negli organismi dell’UE.
Dando seguito alla strategia dell’UE per l’Unione della sicurezza e alla strategia dell’UE per la cibersicurezza, il regolamento sulla cibersicurezza proposto in data odierna garantirà coerenza con le politiche dell’UE esistenti in materia di cibersicurezza, in piena conformità con la vigente legislazione europea:
- la direttiva sulla sicurezza delle reti e dei sistemi informativi(direttiva NIS) e la futura direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione(”NIS 2”), che la Commissione ha proposto nel dicembre 2020;
- il regolamento sulla cibersicurezza;
- la raccomandazione della Commissione sull’istituzione di un’unità congiunta per il ciberspazio;
- la raccomandazione della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala.
Considerata la quantità sempre maggiore di informazioni sensibili non classificate e classificate UE trattate dalle istituzioni, dagli organi e dagli organismi dell’UE, il proposto regolamento sulla sicurezza delle informazioni mira ad aumentare la protezione delle informazioni razionalizzando i vari quadri giuridici delle istituzioni, organi e organismi dell’Unione in tale settore. La proposta è in linea con:
- la strategia dell’UE per l’Unione della sicurezza, che include un ampio impegno dell’UE a integrare gli sforzi degli Stati membri in tutti i settori della sicurezza;
- l’elemento fondamentale dell’agenda strategica 2019-2024, adottata dal Consiglio europeo nel giugno 2019, che consiste nel proteggere le nostre società dalle minacce, in continua evoluzione, che incombono sulle informazioni trattate dalle istituzioni, dagli organi e dalle agenzie dell’UE;
- le conclusioni del Consiglio “Affari generali” del dicembre 2019, che esortano le istituzioni, gli organi e le agenzie dell’UE, con il sostegno degli Stati membri, a elaborare e a mettere in pratica un insieme completo di misure destinate a garantire la loro sicurezza.