Cybersicurezza

Per cybersicurezza si intende, secondo la definizione data dal Regolamento 2019/881, “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”. Se l’attenzione delle istituzioni europee verso la cybersicurezza si è accresciuta di pari passo con l’evoluzione degli spazi digitali e il loro utilizzo da parte delle pubbliche amministrazioni, ulteriore impulso è derivato dal moltiplicarsi dei tipi e delle occorrenze di attacchi hacker, non di rado legati a potenze esterne all’UE. 

Il primo passo in questo settore è stato realizzato nel 2007 con il Regolamento 460/2004, che ha istituito l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) con funzioni di supporto agli Stati membri e miglioramento delle loro capacità di sicurezza informatica. Il mandato dell’ENISA è stato esteso più volte nel tempo. La prima Strategia europea per la cybersicurezza è stata pubblicata dalla Commissione nel 2013, definendo i principi della cybersecurity a livello europeo e cinque priorità strategiche. 

Due importanti sviluppi legislativi hanno avuto luogo sotto la Commissione Juncker. La Direttiva recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (Direttiva NIS), entrata in vigore nel 2016 e da trasporre negli ordinamenti giuridici nazionali entro il maggio 2018, aveva l’obiettivo di spingere gli Stati membri a: 

• adottare strategie nazionali di sicurezza informatica; 
• istituire Team di Risposta agli Incidenti di Sicurezza Informatica (CSIRT); 
• creare un Gruppo di Cooperazione NIS e una rete dei CSIRT per consentire la cooperazione strategica e quella operativa; 
• stabilire requisiti di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali; 
• creare punti di contatto unici nazionali. 

In secondo luogo, nel 2017 la Commissione ha adottato un Pacchetto sulla Sicurezza informatica imperniato sul citato Regolamento 2019/881 sulla cybersicurezza, il cosiddetto Cybersecurity Act (adottato nel 2019 e tuttora in vigore). I cambiamenti principali hanno riguardato: 

• una riforma complessiva di ENISA, consistente in un mandato permanente, maggiori risorse e nuove competenze; 
• la creazione di un quadro di certificazione europeo, ovvero un set complessivo di regole, requisiti tecnici, standard e procedure per assicurare la protezione di prodotti, servizi e processi digitali da potenziali rischi informatici. 

Nel dicembre 2020, la Commissione Von der Leyen ha proposto una nuova Strategia in materia di cybersicurezza per il decennio digitale, in collegamento con la Comunicazione Plasmare il futuro digitale dell’Europa di febbraio 2020 e con la Strategia dell’UE per l’Unione della sicurezza di luglio 2020. La Strategia presentava proposte di iniziative politiche, di regolamentazione e di investimento in tre aree d'azione: 1) resilienza, sovranità tecnologica e leadership; 2) sviluppo della capacità operativa di prevenzione, deterrenza e risposta; 3) promozione di un ciberspazio globale e aperto grazie a una maggiore cooperazione. 

Nel corso del quinquennio, nel campo della cybersicurezza, della difesa e della resilienza nel settore cyber, la Commissione Von der Leyen ha inoltre proposto documenti programmatici quali: una Tabella di marcia relativa alle tecnologie critiche per la sicurezza e la difesa (febbraio 2022); una proposta di Raccomandazione del Consiglio sulla resilienza delle infrastrutture critiche (ottobre 2022); una Comunicazione congiunta sulla politica di cyberdifesa dell’UE (novembre 2022); una Comunicazione su un’Accademia per le competenze in materia di cybersicurezza (aprile 2023). 

Riguardo alle iniziative legislative, contestualmente alla pubblicazione della Strategia in materia di cybersicurezza è stata proposta nel dicembre 2020 la Direttiva relativa a misure per un livello comune elevato di cybersicurezza (Direttiva NIS2), che si configura come revisione della Direttiva NIS, abrogandola e migliorandola. La Direttiva NIS2 è entrata in vigore nel gennaio 2023; restano agli Stati membri pochi mesi per recepirla, entro ottobre 2024. Proposta insieme alla Direttiva NIS2, ed entrata in vigore insieme ad essa, anche la complementare Direttiva sulla resilienza delle entità critiche (Direttiva CER) dovrà essere trasposta negli ordinamenti nazionali entro ottobre 2024. 

La Direttiva NIS2 potenzia resilienza e risposta agli incidenti da parte di soggetti pubblici e privati e dell'UE nel suo complesso, anche rispetto alla protezione delle infrastrutture critiche: 

• ampliando l’ambito di applicazione, con norme di identificazione generali che obbligheranno a prendere misure di gestione dei rischi di cybersicurezza tutti i soggetti di medie e grandi dimensioni che operano nei settori cruciali contemplati dalla direttiva; 
• armonizzando gli obblighi in materia di cybersicurezza e l’attuazione delle misure di cybersicurezza nei diversi Stati membri, e istituendo meccanismi per una cooperazione efficace tra le autorità competenti di ciascuno Stato membro; 
• rafforzando i requisiti minimi di gestione del rischio di sicurezza informativa e razionalizza gli obblighi di notifica di incidenti informatici; 
• istituisce la rete europea delle organizzazioni di collegamento per le crisi informatiche EU-CyCLONe, che sosterrà la gestione coordinata degli incidenti e delle crisi di cybersicurezza su vasta scala. 

Dovrebbe terminare a breve il suo iter legislativo una proposta di Regolamento su requisiti orizzontali di cybersicurezza per prodotti con elementi digitali (Cyber Resilience Act, CRA), presentata in settembre 2022 e su cui è stato raggiunto nel novembre 2023 un accordo politico, a cui è già seguita l’adozione da parte del Parlamento. La proposta introduce requisiti di cybersicurezza europei per le fasi di sviluppo, produzione e messa sul mercato di prodotti connessi, hardware e software, con responsabilità poste in capo ai produttori. Il Regolamento comprende: 

• norme volte a riequilibrare l’assunzione di responsabilità in materia di conformità verso i fabbricanti, che comprendono requisiti essenziali per la progettazione, lo sviluppo e la fabbricazione di prodotti con elementi digitali e norme per la loro immissione sul mercato; 
• obbligo, per i fabbricanti, di fornire tempestivamente ai consumatori aggiornamenti di sicurezza per il periodo previsto di utilizzo del prodotto; 
• requisiti essenziali per i processi di gestione delle vulnerabilità messi in atto dai fabbricanti per garantire la cybersicurezza; 
• norme in materia di vigilanza del mercato.

Il compromesso raggiunto da Parlamento e Consiglio, in particolare, ha stabilito che i nuovi obblighi si applicheranno tre anni dopo l’entrata in vigore del Cyber Resilience Act, per dare ai produttori il tempo di adeguarsi. Ha altresì previsto alcune misure di supporto a piccole imprese e microimprese nell’attuazione. Alcuni emendamenti introdotti con l’accordo sono stati accolti con favore dalla comunità open source.

Vi è poi una proposta di Regolamento sulla cybersolidarietà (EU Cyber Solidarity Act), presentata ad aprile 2023 nell’ambito di un pacchetto che include una modifica mirata del Regolamento sulla cybersicurezza. Anche in questo caso, un accordo politico è stato raggiunto nel marzo 2024 tra il Consiglio e il Parlamento, che ha poi adottato il testo, il cui iter dovrebbe quindi concludersi a breve. Il Cyber Solidarity Act, che mira a rafforzare le capacità nell’UE di individuare, preparare e rispondere ad attacchi significativi su larga scala, prevede la creazione: 

• di un “cyberscudo”, ovvero un’infrastruttura paneuropea composta da centri operativi di sicurezza (SOC) nazionali e transfrontalieri, per la rilevazione di minacce informatiche; 
• di un meccanismo per le emergenze di cybersicurezza, che comprenda azioni di preparazione per rilevare vulnerabilità, così come una “riserva” di sicurezza europea costituita da servizi di risposta agli incidenti, assicurati da fornitori di fiducia; 
• di un meccanismo di riesame degli incidenti di cybersicurezza.