Al fine di rafforzare la solidarietà e le capacità dell’UE di individuare, prevenire e rispondere alle minacce e agli incidenti di cybersicurezza e migliorare la sua resilienza informatica, il Consiglio ed il Parlamento UE hanno raggiunto un accordo provvisorio sulla proposta di Regolamento sulla cibersolidarietà (Cyber solidarity act), nonché sugli emendamenti al Regolamento (UE) 2019/881 (CSA – Cyber Sicurity Act), per quanto riguarda i servizi di sicurezza gestiti.
Il Cyber Solidarity Act mira principalmente a:
- sostenere l’individuazione e la consapevolezza di minacce e incidenti di cybersicurezza significativi o su larga scala
- rafforzare la preparazione e proteggere le entità critiche e i servizi essenziali, come gli ospedali e le aziende di pubblica utilità
- rafforzare la solidarietà a livello europeo, la gestione concertata delle crisi e le capacità di risposta degli Stati membri
- contribuire a garantire un ambiente digitale sicuro e protetto per i cittadini e le imprese.
Per individuare in modo rapido ed efficace le principali minacce informatiche, il nuovo regolamento istituisce un sistema di allerta per la sicurezza informatica, ovvero un’infrastruttura europea composta da centri informatici nazionali e transfrontalieri in tutta l’UE.
Si tratta di entità incaricate di condividere le informazioni, di rilevare e agire sulle minacce informatiche.
Il nuovo Regolamento sulla cibersolidarietà prevede anche la creazione di un meccanismo di emergenza per la sicurezza informatica, al fine di aumentare la preparazione e migliorare le capacità di risposta agli incidenti nell’UE.
Il meccanismo sosterrà azioni preventive, tra cui:
- la verifica di potenziali vulnerabilità di entità in settori altamente critici (sanità, trasporti, energia, ecc.), sulla base di scenari di rischio e metodologie comuni
- una nuova “riserva di cybersicurezza” (cybersecurity reserve), costituita da servizi di risposta agli incidenti da parte settore privato, pronti a intervenire su richiesta di uno Stato membro o di istituzioni, organi e agenzie dell’UE, nonché di Paesi terzi associati, in caso di incidente di sicurezza informatica significativo o su larga scala
- assistenza reciproca in termini finanziari
Infine, il nuovo regolamento stabilisce un meccanismo di valutazione e revisione per valutare, tra l’altro, l’efficacia delle azioni nell’ambito del meccanismo di emergenza informatica e l’uso della riserva per la sicurezza informatica, nonché il contributo di questo regolamento al rafforzamento della posizione competitiva dei settori dell’industria e dei servizi.
Gli emendamenti al CSA, invece, sono volti a migliorare la resilienza informatica dell’UE, prevedendo l’adozione di schemi di certificazione europei per i servizi di sicurezza gestiti e contribuendo a fornire un quadro per l’istituzione di fornitori di fiducia nella riserva dell’UE per la cybersicurezza nell’ambito del regolamento sulla cibersolidarietà.
I servizi possono consistere, ad esempio, nella gestione degli incidenti, nei test di penetrazione, negli audit di sicurezza e nella consulenza relativa al supporto tecnico.
In attesa della revisione periodica del CSA, prevista per il 28 giugno 2024, l’accordo provvisorio:
- chiarisce la definizione di “servizi di sicurezza gestiti” e garantisce l’allineamento con la direttiva riveduta sui sistemi informativi di rete (“NIS 2”)
- allinea gli obiettivi di sicurezza di questi schemi di certificazione con gli obiettivi di sicurezza di altri schemi nell’ambito dell’attuale regolamento CSA
- include modifiche all’allegato del CSA, contenendo un elenco di requisiti che devono essere soddisfatti dagli organismi di valutazione della conformità
- specifica che la consultazione dell’ENISA di tutti i soggetti interessati deve avvenire in modo tempestivo e prevede la possibilità di briefing trimestrali da parte dell’ENISA o della Commissione, al Consiglio ed al Parlamento, sul funzionamento dei sistemi di certificazione.
Dopo gli accordi provvisori di oggi, entrambi i testi dovranno essere approvati dal Consiglio e dal Parlamento europeo in vista della loro adozione formale; quindi, entreranno in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE.