NUOVE NORME PER RAFFORZARE LA CIBERSICUREZZA E LA SICUREZZA DELLE INFORMAZIONI NELLE ISTITUZIONI, NEGLI ORGANI E NEGLI ORGANISMI DELL’UE

by chat_bubble_outline

Le nuove norme proposte dalla Commissione europea in tema di cibersicurezza e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’Unione Europea sono state raccolte in due regolamenti. Di seguito si fornisce una panoramica complessiva delle due normative, sia per quanto riguarda la coerenza con altre fonti di soft e hard law dell’Unione, sia per ciò che concerne i contenuti specifici di ciascun Regolamento.

Il Regolamento sulla cibersicurezza  è stato redatto in coerenza con la relativa normativa europea, a titolo esemplificativo si citano: i) la direttiva sulla sicurezza delle reti e dei sistemi informativi (direttiva NIS) e la sua futura revisione (direttiva NIS 2) di prossima adozione, ii) la Raccomandazione della Commissione sull’istituzione di un’unità congiunta per il ciberspazio e iii) la Raccomandazione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala. I principali obiettivi del Regolamento possono essere riassunti come segue.

  • Rafforzare il mandato del CERT-UE (la squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell’UE che sarà denominata “Centro per la cibersicurezza”), che avrà le funzioni di:
    • piattaforma di intelligence relativa alle minacce;
    • piattaforma di scambio di informazioni sulla cibersicurezza;
    • strumento di coordinamento della risposta in caso di incidenti;
    • organo consultivo centrale;
    • prestatore di servizi.
  • Fare in modo che tutte le istituzioni, gli organi e gli organismi dell’UE:
    • si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cibersicurezza;
    • attuino misure di cibersicurezza per affrontare i rischi individuati;
    • effettuino periodicamente valutazioni di maturità;
    • predispongano un piano di miglioramento della propria cibersicurezza, approvato dalla dirigenza dell’ente;
    • condividano, senza ritardi, con il CERT-UE le informazioni relative agli incidenti.
  • Istituire un nuovo comitato interistituzionale per la cibersicurezza per guidare e monitorare l’attuazione del Regolamento e per indirizzare il CERT-EU.

Il Regolamento sulla sicurezza delle informazioni è stato definito in linea con: i) la Strategia dell’UE per l’Unione della sicurezza, che include un ampio impegno dell’UE a integrare gli sforzi degli Stati membri in tutti i settori della sicurezza, ii) l’Agenda strategica 2019-2024, che individua come elemento centrale la protezione dalle minacce che incombono sulle informazioni trattate dalle istituzioni, dagli organi e dalle agenzie dell’UE e iii) le Conclusioni del Consiglio “Affari generali” del dicembre 2019, che esortano tutti gli enti dell’UE a elaborare e a mettere in pratica un insieme completo di misure destinate a garantire la propria sicurezza. Gli elementi chiave del Regolamento sono:

  • Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell’UE, in particolare attraverso l’istituzione di un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni;
  • Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza;
  • Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto;
  • Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.

Riferimenti

  • NUOVE NORME PER RAFFORZARE LA CIBERSICUREZZA E LA SICUREZZA DELLE INFORMAZIONI NELLE ISTITUZIONI, NEGLI ORGANI E NEGLI ORGANISMI DELL’UE

https://ec.europa.eu/commission/presscorner/detail/it/IP_22_1866

Written by