Decorsi i venti giorni dalla sua pubblicazione nell’Official Journal dell’Unione Europea, a inizio gennaio è entrato in vigore il nuovo regolamento UE sulla cybersicurezza.
“Il raggiungimento di un elevato livello comune di cybersicurezza tra gli enti dell’Unione è fondamentale per garantire un’amministrazione pubblica dell’Ue aperta, efficiente, sicura e resiliente”, con queste parole J. Hahn, Commissario Ue per il Bilancio e l’Amministrazione, aveva accolto la rapida adozione del regolamento che rafforza la sicurezza informatica, a dicembre 2023.
Indice
Il contesto
Il contesto individuato dal Regolamento UE 2023/2841 vede protagoniste le tecnologie dell’informazione e della comunicazione per garantire la realizzazione di una amministrazione europea aperta, efficace ed indipendente, la cui crescente complessità e interconnessione, tuttavia, amplifica i rischi in termini di cybersicurezza, rendendo i soggetti dell’Unione più vulnerabili alle minacce informatiche.
I cybercriminali impiegano tattiche, tecniche e procedure in continua evoluzione, cercando di scardinare gli ambienti TIC dei soggetti dell’Unione sempre più interdipendenti e che utilizzano flussi di dati integrati, per cui qualunque perturbazione che interessa anche uno solo degli Stati può avere a cascata ripercussioni negative di ampia portata anche sugli altri Stati.
E’ d’obbligo, quindi, portare ad un livello di reale maturità la Cyber-resilienza per raggiungere un livello comune ed elevato di cybersicurezza, necessario affinché ogni soggetto dell’Unione istituisca un quadro interno di gestione, governance e controllo dei rischi e tenga conto della continuità operativa e della gestione delle crisi. Il quadro dovrebbe stabilire politiche in materia di cybersicurezza, comprensive di obiettivi e priorità, basandosi su un approccio multirischio che miri a proteggere i sistemi informativi e di rete e il loro ambiente fisico da eventi o da qualsiasi accesso fisico non autorizzato.
La cybersicurezza è un processo continuo, dove l’adeguatezza e l’efficacia delle misure dovrebbero essere riviste periodicamente alla luce dell’evoluzione dei rischi, delle risorse e della maturità raggiunta in termini di cybersicurezza dei soggetti dell’Unione. Occuparsi della cultura della cybersicurezza, nella sua pratica quotidiana, è parte integrante del quadro e delle corrispondenti misure di gestione dei rischi per la cybersicurezza in tutti i soggetti dell’Unione.
I prossimi appuntamenti
Entro l’8 settembre 2024, il comitato interistituzionale per la cybersicurezza istituito a norma dell’articolo 10 del Regolamento (UE, Euratom) 2023/2841 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, previa consultazione dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA) e dopo aver ricevuto orientamenti dal CERT-UE
- emanerà indirizzi destinati ai soggetti dell’Unione per effettuare un riesame iniziale della cybersicurezza e istituire un quadro interno di gestione, di governance e di controllo dei rischi per la cybersicurezza a norma dell’articolo 6
- svolgerà valutazioni di maturità della cybersicurezza a norma dell’articolo 7
- adotterà misure di gestione dei rischi per la cybersicurezza a norma dell’articolo 8
- adotterà il piano di cybersicurezza a norma dell’articolo 9.
Entro l’8 aprile 2025, ogni soggetto dell’Unione, dopo aver effettuato un riesame iniziale della cybersicurezza, come un audit, istituisce un quadro interno di gestione, di governance e di controllo dei rischi per la cybersicurezza.
L’istituzione del quadro è soggetta alla vigilanza del livello di dirigenza più elevato del soggetto dell’Unione ed è sotto la sua responsabilità, interessando la totalità dell’ambiente TIC, compreso:
- ogni ambiente TIC e la rete di tecnologie operative in loco
- le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi
- i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso a tali ambienti, cd. ambiente TIC. Il quadro è basato su un approccio multirischio.
Il quadro è riesaminato periodicamente in considerazione dell’evoluzione dei rischi per la cybersicurezza e almeno ogni quattro anni.
Ogni soggetto dell’Unione dispone di meccanismi efficaci per garantire che un’adeguata percentuale della dotazione di bilancio destinata alle TIC, sia spesa per la cybersicurezza.
Ogni soggetto dell’Unione nomina un responsabile locale per la cybersicurezza o una funzione equivalente come punto di contatto unico per tutti gli aspetti della cybersicurezza. Il responsabile locale per la cybersicurezza agevola l’attuazione del presente regolamento e riferisce direttamente al livello di dirigenza più elevato a cadenza periodica in merito allo stato di attuazione. Fermo restando che il responsabile locale per la cybersicurezza è il punto di contatto unico in ciascun soggetto dell’Unione, che può delegare determinati compiti del responsabile locale per la cybersicurezza in relazione all’attuazione del regolamento al CERT-UE, sulla base di un accordo sul livello dei servizi concluso tra tale soggetto dell’Unione e il CERT-UE, oppure tali compiti possono essere condivisi tra vari soggetti dell’Unione.
Il CERT-UE istituisce un elenco dei responsabili locali per la cybersicurezza nominati e lo mantiene aggiornato.
Valutazioni di maturità della cybersicurezza
Entro l’8 luglio 2025 e successivamente almeno ogni due anni, ciascun soggetto dell’Unione svolge una valutazione di maturità della cybersicurezza che comprende tutti gli elementi del proprio ambiente TIC.
Le valutazioni di maturità della cybersicurezza sono svolte, se del caso, con l’assistenza di terzi specializzati. I soggetti dell’Unione con strutture simili possono cooperare nello svolgimento delle valutazioni di maturità della cybersicurezza per i rispettivi soggetti.
Entro l’8 settembre 2025, ogni soggetto dell’Unione adotta misure tecniche, operative e organizzative adeguate e proporzionate, sotto la vigilanza del livello di dirigenza più elevato, per gestire i rischi per la cybersicurezza individuati nell’ambito del quadro e per prevenire o ridurre al minimo l’impatto degli incidenti. Tenendo conto dello stato delle conoscenze e, se del caso, delle pertinenti norme europee e internazionali, tali misure garantiscono un livello di sicurezza dei sistemi informativi e di rete in tutto l’ambiente TIC commisurato ai rischi posti per la cybersicurezza.
Piani di cybersicurezza
A seguito della conclusione della valutazione di maturità della cybersicurezza e considerando le risorse e i rischi per la cybersicurezza individuati nell’ambito del quadro e le misure di gestione dei rischi per la cybersicurezza, il livello di dirigenza più elevato di ogni soggetto dell’Unione approva, senza indebito ritardo e comunque entro l’8 gennaio 2026, un piano di cybersicurezza.
Il piano di cybersicurezza è volto ad aumentare la cybersicurezza complessiva del soggetto dell’Unione e contribuisce così al rafforzamento di un livello comune elevato di cybersicurezza all’interno dei soggetti dell’Unione.
Il piano di cybersicurezza comprende come minimo le misure di gestione dei rischi per la cybersicurezza ed è rivisto ogni due anni o più spesso, se necessario, a seguito delle valutazioni di maturità della cybersicurezza o di un riesame sostanziale del quadro. Il piano di cybersicurezza comprende il piano di gestione delle crisi informatiche del soggetto dell’Unione per gli incidenti gravi. Il soggetto dell’Unione trasmette il piano di cybersicurezza completo al comitato interistituzionale per la cybersicurezza istituito a norma dell’articolo 10 del Regolamento.
Cosa stabilisce il Regolamento
Il regolamento stabilisce misure per l’istituzione di un quadro interno di gestione, governance e controllo del rischio per ogni entità dell’Unione e istituisce un nuovo comitato interistituzionale per la cybersicurezza (Iicb) per monitorare e sostenere l’attuazione delle regole.
Il documento prevede l’estensione del mandato del Computer Emergency Response Team per le istituzioni, agli organi e organismi dell’Ue (Cert-Eu), in qualità di centro di intelligence sulle minacce, di scambio di informazioni e di coordinamento della risposta agli incidenti, di organo consultivo centrale e di fornitore di servizi. In linea con il suo mandato, il Cert-Eu viene rinominato in Servizio di sicurezza informatica per le istituzioni, gli organi e gli organismi dell’Unione.
Seguendo il calendario definito dal Regolamento, le entità dell’Unione stabiliranno processi interni di governance della cybersicurezza e metteranno progressivamente in atto le misure specifiche di gestione del rischio.
L’Iicb sarà istituito e diventerà operativo il prima possibile, con l’obiettivo di garantire l’indirizzo strategico di Cert-Eu nell’ambito del suo mandato esteso, fornire orientamenti e sostegno alle entità dell’Unione e monitorare l’attuazione del regolamento.
I soggetti preposti
Comitato interistituzionale per la cybersicurezza
È istituito un comitato interistituzionale per la cybersicurezza (IICB). L’IICB ha il compito di:
- controllare e sostenere l’attuazione del Regolamento da parte dei soggetti dell’Unione
- vigilare sull’attuazione delle priorita’ e degli obiettivi generati da parte del CERT_UE
- imprimere a tale centro una direzione strategica
L’IICB è composto da:
- un rappresentante designato da ciascuno dei seguenti soggetti: Parlamento europeo, Consiglio europeo, Consiglio dell’Unione europea, Commissione, Corte di Giustizia dell’Unione europea, BCE, Corte dei Conti, Servizio europeo per l’Azione Esterna, Comitato economico e sociale europeo, Comitato europeo delle Regioni, Banca europea per gli investimenti, Centro europeo di competenza per Cybersicurezza nell’ambito industriale, tecnologico e della ricerca, ENISA, garante europeo della protezione dei dati (GEPD) e Agenzia dell’Unione europea per il programma spaziale
- tre rappresentanti designati dalla rete delle Agenzie dell’Unione (EUAN)
Il Regolamento pone particolare attenzione alla sicurezza dei sistemi informativi e di rete che gestiscono informazioni classificate dell’Unione Europea (ICUE).
I soggetti dell’Unione che trattano ICUE dovranno aderire a quadri normativi completi per la protezione di tali dati, incorporando meccanismi di governance specifici, nonché politiche e procedure di gestione dei rischi. L’obiettivo è garantire che i sistemi che trattano ICUE siano soggetti a standard di sicurezza più stringenti rispetto ai sistemi non classificati, rendendoli più resilienti a minacce e incidenti informatici.
Viene, inoltre, riconosciuta l’importanza di costruire un futuro quadro comune per la gestione della sicurezza di queste organizzazioni dato che l’attuale regolamentazione non si applica ai sistemi informativi e di rete che trattano ICUE.
Tuttavia, il regolamento prescrive che in casi specifici e su richiesta di un soggetto dell’Unione, il CERT-UE (Computer Emergency Response Team dell’UE) può fornire assistenza in relazione a incidenti che coinvolgono ambienti TIC classificati.
CERT-UE
Il CERT-UE, originariamente istituito come task force della Commissione con un mandato interistituzionale, è stato successivamente confermato come entità permanente per migliorare la sicurezza informatica delle istituzioni, organi e agenzie dell’Unione. Il Regolamento prevede una serie completa di norme sull’organizzazione, funzionamento e operatività del CERT-UE, prevalendo sulle disposizioni interistituzionali precedenti.
In base a tali disposizioni, il ruolo dell’Ente si concentra sull’erogazione di consulenza tecnica specializzata e sulla fornitura di servizi pratici specificamente progettati per migliorare la protezione dei sistemi informatici.
Il Regolamento UE 2023/2841 propone una sua ridenominazione in “Servizio per la cybersicurezza delle istituzioni, organi e organismi dell’Unione” mantenendo, comunque, l’acronimo CERT-UE.
