La Commissione Europea propone un nuovo pacchetto legislativo sulla cybersecurity.

La Commissione Europea ha proposto un nuovo pacchetto di cybersecurity per rafforzare ulteriormente la resilienza e le capacità di cybersecurity dell'UE di fronte a queste minacce crescenti.

Il pacchetto include una proposta per una legge sulla cybersecurity rivista, che rafforza la sicurezza delle catene di approvvigionamento delle tecnologie dell'informazione e della comunicazione (ICT) dell'UE. Garantisce che i prodotti che raggiungono i cittadini UE siano cyber-sicuri per design attraverso un processo di certificazione più semplice. Facilita inoltre il rispetto delle attuali regole di cybersecurity dell'UE e rafforza l'Agenzia Europea per la Cybersicurezza (ENISA) nel supportare gli Stati Membri e l'UE nella gestione delle minacce alla cybersecurity.

Rafforzare la sicurezza delle catene di approvvigionamento ICT nell'UE

La nuova Cybersecurity Act mira a ridurre i rischi nella catena di approvvigionamento ICT dell'UE da parte di fornitori di paesi terzi con preoccupazioni di cybersecurity. Stabilisce un quadro di sicurezza della catena di approvvigionamento ICT affidabile basato su un approccio armonizzato, proporzionato e basato sul rischio. Ciò permetterà all'UE e agli Stati membri di identificare e mitigare congiuntamente i rischi nei 18 settori critici dell'UE, considerando anche gli impatti economici e l'offerta di mercato.

I recenti incidenti di cybersecurity hanno evidenziato i principali rischi posti dalle vulnerabilità nelle catene di approvvigionamento ICT, essenziali per il funzionamento dei servizi e delle infrastrutture critiche. Nel panorama geopolitico odierno, la sicurezza della catena di approvvigionamento non riguarda più solo la sicurezza tecnica dei prodotti o servizi, ma anche i rischi legati a un fornitore, in particolare dipendenze e interferenze straniere.

La Cybersecurity Act consentirà la riduzione obbligatoria dei rischi delle reti di telecomunicazioni mobili europee da fornitori terzi ad alto rischio, basandosi sul lavoro già svolto nell'ambito della cassetta degli attrezzi per la sicurezza 5G.

Semplificare e migliorare il Quadro Europeo di Certificazione della Cybersecurity

La legge sulla sicurezza informatica rivista garantirà che prodotti e servizi che raggiungono i consumatori dell'UE vengano testati in modo più efficiente per la sicurezza. Ciò avverrà attraverso un rinnovato Quadro Europeo di Certificazione della Cybersecurity (ECCF). L'ECCF porterà maggiore chiarezza e procedure più semplici, permettendo di sviluppare di default schemi di certificazione entro 12 mesi. Introdurrà inoltre una governance più agile e trasparente per coinvolgere meglio gli stakeholder attraverso l'informazione pubblica e la consultazione.

I programmi di certificazione, gestiti da ENISA, diventeranno uno strumento pratico e volontario per le imprese. Permetteranno alle imprese di dimostrare la conformità alla legislazione UE, riducendo il carico e i costi. Oltre ai prodotti, servizi, processi e servizi di sicurezza gestiti ICT, aziende e organizzazioni potranno certificare la loro postura cibernetica per soddisfare le esigenze del mercato. In definitiva, il rinnovato ECCF sarà una risorsa competitiva per le imprese dell'UE. Per i cittadini UE, le imprese e le autorità pubbliche, garantirà un alto livello di sicurezza e fiducia nelle complesse catene di approvvigionamento ICT.

Facilitare la conformità alle regole di cybersicurezza

Il pacchetto introduce misure per semplificare il rispetto delle norme europee sulla cybersicurezza e dei requisiti di gestione del rischio per le aziende che operano nell'UE, integrando il punto di ingresso unico per la segnalazione degli incidenti proposto nel Digital Omnibus. Le modifiche mirate alla Direttiva NIS2 mirano ad aumentare la chiarezza giuridica. Faciliteranno la conformità per 28.700 aziende, incluse 6.200 micro e piccole imprese. Introdurranno inoltre una nuova categoria di piccole imprese di medie capitalizzazioni per ridurre i costi di conformità per 22.500 aziende. Le modifiche semplificheranno le regole giurisdizionali, snelliranno la raccolta di dati sugli attacchi ransomware e faciliteranno la supervisione di entità transfrontaliere con il ruolo rinforzato di coordinamento di ENISA.

Dare potere a ENISA per rafforzare la resilienza della cybersecurity europea

Dall'adozione della prima Cybersecurity Act nel 2019, ENISA è cresciuta come pietra angolare dell'ecosistema della cybersecurity dell'UE. La legge rivista sulla Cybersecurity presentata oggi consente a ENISA di aiutare l'UE e i suoi Stati membri a comprendere le minacce comuni. Permette inoltre loro di prepararsi e rispondere agli incidenti informatici.

L'agenzia supporterà ulteriormente aziende e stakeholder che operano nell'UE emettendo allerte precoci di minacce e incidenti informatici. In collaborazione con Europol e i Computer Security Incident Response Teams, supporterà le aziende nella risposta e nel recupero da attacchi ransomware. ENISA svilupperà inoltre un approccio sindacale per fornire migliori servizi di gestione delle vulnerabilità agli stakeholder. Gestirà il punto d'ingresso unico per la segnalazione degli incidenti proposto nel Digital Omnibus.

ENISA continuerà a svolgere un ruolo chiave nella formazione di una forza lavoro qualificata in cybersecurity in Europa. Lo farà sperimentando la Cybersecurity Skills Academy e istituendo programmi di attestazione delle competenze in cybersecurity a livello UE.

Passi successivi

La Legge sulla Cybersecurity sarà applicabile immediatamente dopo l'approvazione del Parlamento Europeo e del Consiglio dell'UE. Le modifiche alla Direttiva NIS2 saranno inoltre presentate per l'approvazione. Una volta adottata, gli Stati membri avranno un anno per attuare la Direttiva nel diritto nazionale e comunicare i testi pertinenti alla Commissione. 

 

La Commissione ha inoltre messo a disposizione delle specifiche F.A.Q., sull'iniziztaiva