La Commissione europea rafforza la resilienza e le capacità dell'UE in materia di cybersicurezza

L'Europa si trova quotidianamente ad affrontare attacchi informatici e ibridi nei confronti di servizi essenziali e istituzioni democratiche, perpetrati da gruppi statali e criminali che operano con tecniche sofisticate. La Commissione europea ha proposto oggi un nuovo pacchetto sulla cybersicurezza per rafforzare ulteriormente la resilienza e le capacità dell'UE in materia di cybersicurezza di fronte all'aumento di tali minacce.

Il pacchetto comprende una proposta di revisione del regolamento sulla cybersicurezza che rafforza la sicurezza delle catene di approvvigionamento delle tecnologie dell'informazione e della comunicazione (TIC) dell'UE. Garantisce che i prodotti destinati ai cittadini dell'UE siano progettati per essere sicuri dal punto di vista informatico attraverso un processo di certificazione più semplice. Facilita inoltre il rispetto delle norme dell'UE vigenti in materia di cybersicurezza e rafforza l'Agenzia dell'Unione europea per la cybersicurezza (ENISA) nel sostenere gli Stati membri e l'UE ai fini della gestione delle minacce informatiche.

Rafforzare la sicurezza delle catene di approvvigionamento delle TIC nell'UE

Il nuovo regolamento sulla cybersicurezza mira a ridurre i rischi nelle catene di approvvigionamento delle TIC dell'UE connessi a fornitori di paesi terzi che presentano criticità per quanto riguarda la cybersicurezza. Definisce un quadro affidabile per la sicurezza delle catene di approvvigionamento delle TIC che si fonda su un approccio armonizzato, proporzionato e basato sul rischio. In tal modo l'UE e gli Stati membri potranno individuare e attenuare congiuntamente i rischi nei 18 settori critici dell'UE, tenendo conto anche degli impatti economici e dell'offerta di mercato.

I recenti incidenti di sicurezza informatica hanno evidenziato i principali rischi posti dalle vulnerabilità nelle catene di approvvigionamento delle TIC, che sono fondamentali per il funzionamento di servizi e infrastrutture essenziali. Nell'attuale panorama geopolitico, la sicurezza delle catene di approvvigionamento non riguarda più solo la sicurezza tecnica di prodotti o servizi, ma anche i rischi connessi a un fornitore, in particolare le dipendenze e le ingerenze straniere.

Il regolamento sulla cybersicurezza consentirà di attuare l'imperativa riduzione dei rischi per le reti di telecomunicazioni mobili europee connessi a fornitori di paesi terzi ad alto rischio, sulla base del lavoro già svolto nell'ambito del pacchetto di strumenti per la sicurezza del 5G.

Semplificare e migliorare il quadro europeo di certificazione della cybersicurezza

La revisione del regolamento sulla cybersicurezza garantirà che i prodotti e i servizi destinati ai consumatori dell'UE siano testati in modo più efficiente sotto il profilo della sicurezza grazie a un rinnovato quadro europeo di certificazione della cybersicurezza (ECCF). L'ECCF apporterà maggiore chiarezza e procedure più semplici, consentendo di sviluppare schemi di certificazione entro 12 mesi in ogni caso. Introdurrà inoltre una governance più agile e trasparente per coinvolgere meglio i portatori di interessi attraverso l'informazione e la consultazione pubblica.

I sistemi di certificazione, gestiti dall'ENISA, diventeranno uno strumento pratico e volontario per le imprese. Consentiranno alle imprese di dimostrare la conformità alla legislazione dell'UE, riducendo gli oneri e i costi. Oltre ai prodotti, ai servizi, ai processi e ai servizi di sicurezza gestiti basati sulle TIC, le imprese e le organizzazioni saranno in grado di certificare la loro posizione di cybersicurezza per soddisfare le esigenze del mercato. In ultima analisi, il nuovo ECCF costituirà un vantaggio competitivo per le imprese dell'UE. Per i cittadini, le imprese e le autorità pubbliche dell'UE garantirà un elevato livello di sicurezza e fiducia nelle complesse catene di approvvigionamento delle TIC.

Facilitare il rispetto delle norme in materia di cybersicurezza

Il pacchetto introduce misure volte a semplificare il rispetto delle norme dell'UE in materia di cybersicurezza e degli obblighi di gestione dei rischi per le imprese che operano nell'UE, integrando lo sportello unico per la segnalazione degli incidenti proposto nell'omnibus digitale. Le modifiche mirate della direttiva NIS 2 mirano ad aumentare la chiarezza giuridica. Agevoleranno la conformità per 28 700 imprese, tra cui 6 200 microimprese e piccole imprese. Introdurranno inoltre una nuova categoria di piccole imprese a media capitalizzazione nell'intento di ridurre i costi di conformità per 22 500 imprese. Le modifiche semplificheranno le norme giurisdizionali, snelliranno la raccolta di dati sugli attacchi ransomware e faciliteranno la vigilanza di soggetti operanti a livello transfrontaliero mediante il rafforzamento del ruolo di coordinamento dell'ENISA.

Potenziare l'ENISA per incrementare la resilienza dell'Europa in materia di cybersicurezza

Dall'adozione del primo regolamento sulla cybersicurezza nel 2019, l'ENISA è diventata una pietra angolare dell'ecosistema della cybersicurezza dell'UE. Grazie al regolamento sulla cybersicurezza riveduto, presentato oggi, l'ENISA è in grado di aiutare l'UE e i suoi Stati membri a comprendere le minacce comuni. Inoltre dà loro la possibilità di prepararsi e di rispondere agli incidenti informatici.

L'Agenzia sosterrà ulteriormente le imprese e i portatori di interessi attivi nell'UE emettendo allerte tempestive su minacce e incidenti informatici. In collaborazione con l'Europol e i gruppi di intervento per la sicurezza informatica in caso di incidente, sosterrà le imprese sia in fase di risposta agli attacchi ransomware che di ripresa dopo tali attacchi. L'ENISA svilupperà inoltre un approccio dell'Unione per fornire ai portatori di interessi servizi migliori di gestione delle vulnerabilità e provvederà al funzionamento dello sportello unico per la segnalazione degli incidenti proposto nell'omnibus digitale.

L'ENISA continuerà a svolgere un ruolo chiave nel creare una forza lavoro qualificata nel settore della cybersicurezza in Europa. A tal fine guiderà l'iniziativa pilota dell'accademia per le competenze in materia di cybersicurezza e istituirà regimi di attestazione delle competenze di cybersicurezza a livello dell'UE.

Prossime tappe

Il regolamento sulla cybersicurezza sarà applicabile immediatamente dopo l'approvazione del Parlamento europeo e del Consiglio dell'UE. Contestualmente, saranno presentate per l'approvazione anche le modifiche della direttiva NIS 2. Dopo l'adozione, gli Stati membri avranno un anno di tempo per attuare la direttiva nell'ordinamento nazionale e per comunicare i testi pertinenti alla Commissione.