Entrato in vigore il 7 gennaio 2024, il nuovo regolamento dell’Unione Europea sulla cybersicurezza rappresenta un passo importante per aumentare il livello di sicurezza informatica all’interno delle istituzioni e degli organismi dell’UE.
Il regolamento mira a rafforzare la sicurezza informatica delle entità dell’Unione e ad allineare l’amministrazione dell’UE agli standard imposti agli Stati membri, in linea con la direttiva NIS 2 su elevati livelli comuni di sicurezza informatica. La sua rapida adozione dimostra l’impegno dell’UE verso l’obiettivo di una maggiore sicurezza informatica. In un contesto dove le minacce informatiche diventano sempre più pervasive e sofisticate, il regolamento gioca un ruolo chiave nel garantire un’amministrazione pubblica dell’UE aperta, efficiente, sicura e resiliente, come sottolineato dal Commissario UE Johannes Hahn.
In particolare, il regolamento stabilisce misure per l’istituzione di un quadro interno di gestione, governance e controllo del rischio per ogni entità dell’Unione e istituisce un nuovo comitato interistituzionale per la cybersicurezza (IICB) per monitorare e sostenere l’attuazione delle regole. Il Computer Emergency Response Team dell’UE (CERT-EU) viene rinominato in Servizio di sicurezza informatica per le istituzioni, gli organi e gli organismi dell’Unione, assumendo un ruolo centrale come centro di intelligence sulle minacce e di coordinamento della risposta agli incidenti.
Le entità dell’Unione seguiranno un calendario definito dal regolamento per stabilire processi interni di governance della cybersicurezza e implementare progressivamente misure specifiche di gestione del rischio. L’IICB sarà operativo quanto prima, con l’obiettivo di garantire l’indirizzo strategico di Cert-EU nel suo mandato esteso, fornire orientamenti e sostegno alle entità dell’Unione e monitorare l’attuazione del regolamento.
Il regolamento prevede anche che i soggetti dell’Unione possano notificare al CERT-UE gli incidenti, le minacce informatiche, le vulnerabilità e i quasi incidenti, condividendo dettagli tecnici che consentano di rilevare o attenuare e rispondere a incidenti analoghi in altri soggetti dell’Unione. Ogni soggetto dell’Unione nomina un responsabile locale per la cybersicurezza, che agevola l’attuazione del regolamento e riferisce direttamente al livello di dirigenza più elevato.
All’interno del regolamento esiste anche una guida per determinare l’esistenza e la gravità di un attacco informatico e un protocollo operativo di segnalazione e condivisione. Un incidente è considerato significativo se causa una grave perturbazione operativa o perdite finanziarie sostanziali, o se influisce notevolmente su altre persone fisiche o giuridiche. I soggetti dell’Unione sono tenuti a presentare un preallarme al CERT-UE entro 24 ore dalla conoscenza di un incidente significativo e una notifica dettagliata entro 72 ore.
Questo regolamento rappresenta un importante passo avanti nella protezione delle infrastrutture critiche dell’Unione Europea e nella gestione delle crescenti sfide poste dalle minacce cyber. Con l’implementazione di queste misure, l’UE si posiziona come un leader nell’adottare un approccio proattivo e completo alla cybersicurezza.
Per maggiori informazioni al testo completo