Nuove norme per rafforzare la cibersicurezza e la sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE.

Nuove norme per rafforzare la cibersicurezza e la sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE.

Nuove norme per rafforzare la cibersicurezza e la sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE

22.03.2022 - La Commissione ha proposto oggi nuove norme per stabilire misure comuni in materia di cibersicurezza e sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell’UE. La proposta è volta a rafforzare le capacità di resilienza e di risposta di questi soggetti rispetto agli incidenti e alle minacce informatiche, come pure a garantire la resilienza e la sicurezza della pubblica amministrazione dell'UE in un contesto di crescenti attività informatiche dolose nel panorama globale.

Johannes Hahn, Commissario per il Bilancio e l'amministrazione, ha dichiarato: “In un ambiente connesso, un singolo incidente di cibersicurezza può incidere su un'intera organizzazione. Per questo motivo è fondamentale costruire un solido scudo contro le minacce informatiche e gli incidenti informatici che potrebbero perturbare la nostra capacità di agire. I regolamenti che stiamo proponendo oggi sono una pietra miliare nel panorama della cibersicurezza e della sicurezza delle informazioni dell’UE. Sono basati su una cooperazione rafforzata e sul sostegno reciproco tra le istituzioni, gli organi e gli organismi dell’UE, e sul coordinamento della preparazione e della risposta. Si tratta di un vero e proprio sforzo collettivo a livello dell’UE.”

Nel contesto della pandemia di COVID-19 e delle crescenti sfide geopolitiche, un approccio comune alla cibersicurezza e alla sicurezza delle informazioni è imprescindibile. Alla luce di ciò la Commissione ha proposto un regolamento sulla cibersicurezza e un regolamento sulla sicurezza delle informazioni. Stabilendo priorità e quadri comuni, tali norme rafforzeranno ulteriormente la cooperazione interistituzionale, ridurranno al minimo l'esposizione ai rischi e consolideranno la cultura della sicurezza dell’UE.

Regolamento sulla cibersicurezza

Il proposto regolamento sulla cibersicurezza introdurrà un quadro di gestione, di governance e di controllo dei rischi nel settore della cibersicurezza. Porterà alla creazione di un nuovo comitato interistituzionale per la cibersicurezza, accrescerà le capacità in materia di cibersicurezza, e incentiverà periodiche valutazioni di maturità e una maggiore igiene informatica. Amplierà inoltre il mandato della squadra di pronto intervento informatico delle istituzioni, degli organi e degli organismi dell’UE (CERT-EU), che fungerà da piattaforma di intelligence relativa alle minacce, di scambio di informazioni sulla cibersicurezza e di coordinamento della risposta in caso di incidenti, da organo consultivo centrale e da prestatore di servizi.

Elementi chiave della proposta di regolamento sulla cibersicurezza:

• Rafforzare il mandato del CERT-UE e fornire le risorse necessarie per il suo assolvimento
• Esigere che tutte le istituzioni, gli organi e gli organismi dell’UE:
  • si dotino di un quadro di governance, gestione e controllo dei rischi nel settore della cibersicurezza;
  • attuino una base di riferimento per le misure di cibersicurezza per affrontare i rischi individuati;
  • effetuino periodicamente valutazioni di maturità;
  • predispongano un piano di miglioramento della propria cibersicurezza, approvato dalla loro dirigenza;
  • condividano senza indebito ritardo con il CERT-UE le informazioni relative agli incidenti.
• Istituire un nuovo comitato interistituzionale per la cibersicurezza per guidare e monitorare l’attuazione del regolamento e per indirizzare il CERT-EU
• Rinominare il CERT-UE da “squadra di pronto intervento informatico” in “centro per la cibersicurezza” in linea con gli sviluppi negli Stati membri e a livello globale, pur mantenendo l’abbreviazione CERT-UE per il riconoscimento del nome.

Regolamento sulla sicurezza delle informazioni

Il proposto regolamento sulla sicurezza delle informazioni creerà una serie minima di norme e standard sulla sicurezza delle informazioni per tutte le istituzioni, tutti gli organi e tutti gli organismi dell’UE, per garantire una protezione rafforzata e uniforme contro l'evoluzione delle minacce alle informazioni. Queste nuove norme costituiranno un terreno stabile per uno scambio sicuro di informazioni tra le istituzioni, gli organi e gli organismi dell’UE e con gli Stati membri, in base a pratiche e misure standardizzate per proteggere i flussi di informazioni.

Elementi chiave della proposta di regolamento sulla sicurezza delle informazioni:

• Predisporre una governance efficace per promuovere la cooperazione tra tutte le istituzioni, gli organi e gli organismi dell’UE, in particolare un gruppo di coordinamento interistituzionale per la sicurezza delle informazioni
• Istituire un approccio comune per la categorizzazione delle informazioni, basato sul livello di riservatezza
• Modernizzare la politica di sicurezza delle informazioni, includendovi pienamente la trasformazione digitale e il lavoro da remoto
• Razionalizzare le pratiche attuali e conseguire una maggiore compatibilità tra i sistemi e i dispositivi rilevanti.

Contesto

Nella sua risoluzione del marzo 2021, il Consiglio dell’Unione europea ha sottolineato l'importanza di un quadro di sicurezza solido e coerente per proteggere il personale, i dati, le reti di comunicazione, i sistemi di informazione e i processi decisionali dell'UE. Ciò può essere realizzato solo rafforzando la resilienza e migliorando la cultura della sicurezza delle istituzioni, negli organi e negli organismi dell'UE.

Dando seguito alla strategia dell’UE per l'Unione della sicurezzaCerca le traduzioni disponibili del link precedenteIT••• e alla strategia dell'UE per la cibersicurezzaCerca le traduzioni disponibili del link precedenteIT•••, , il regolamento sulla cibersicurezza proposto in data odierna garantirà coerenza con le politiche dell’UE esistenti in materia di cibersicurezza, in piena conformità con la vigente legislazione europea:

• la direttiva sulla sicurezza delle reti e dei sistemi informativiCerca le traduzioni disponibili del link precedenteIT••• (direttiva NIS) e la futura direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione(”NIS 2”), che la Commissione ha proposto nel dicembre 2020;
• il regolamento sulla cibersicurezzaCerca le traduzioni disponibili del link precedenteIT•••;
• la raccomandazione della Commissione sull'istituzione di un'unità congiunta per il ciberspazioCerca le traduzioni disponibili del link precedenteIT•••;
• la raccomandazione della CommissioneCerca le traduzioni disponibili del link precedenteIT••• relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala.

Considerata la quantità sempre maggiore di informazioni sensibili non classificate e classificate UE trattate dalle istituzioni, dagli organi e dagli organismi dell’UE, il proposto regolamento sulla sicurezza delle informazioni mira ad aumentare la protezione delle informazioni razionalizzando i vari quadri giuridici delle istituzioni, organi e organismi dell’Unione in tale settore. La proposta è in linea con:

• la strategia dell’UE per l'Unione della sicurezzaCerca le traduzioni disponibili del link precedenteIT•••, che include un ampio impegno dell’UE a integrare gli sforzi degli Stati membri in tutti i settori della sicurezza;
• l’elemento fondamentale dell’agenda strategica 2019-2024, adottata dal Consiglio europeo nel giugno 2019, che consiste nel proteggere le nostre società dalle minacce, in continua evoluzione, che incombono sulle informazioni trattate dalle istituzioni, dagli organi e dalle agenzie dell’UE;
• le conclusioni del Consiglio “Affari generali” del dicembre 2019Cerca le traduzioni disponibili del link precedenteIT•••, che esortano le istituzioni, gli organi e le agenzie dell’UE, con il sostegno degli Stati membri, a elaborare e a mettere in pratica un insieme completo di misure destinate a garantire la loro sicurezza.

Per ulteriori informazioni

Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell’Unione Cerca le traduzioni disponibili del link precedenteEN•••

Proposta di regolamento del Parlamento europeo e del Consiglio sulla sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'Unione