il Regolamento che rafforza la solidarietà digitale

La sempre maggiore dipendenza dalle tecnologie dell’informazione e della comunicazione ha determinato un aumento della vulnerabilità nelle nostre società e in tutti i settori di attività economica, con una crescita esponenziale degli incidenti di cibersicurezza, sempre più sofisticati, imprevedibili e non più circoscritti ad una determinata area geografica.

Occorre investire in infrastrutture e servizi e sviluppare competenze in materia di cibersicurezza che permettano una rapida rilevazione delle minacce e degli incidenti informatici unita alla capacità di assicurare una tempestiva soluzione. L’impegno deve essere, inevitabilmente, assunto dall’intera Unione europea.

È questa la premessa da cui parte il Cyber Solidarity Act, il nuovo Regolamento adottato dal Palamento europeo che ha proprio l’obiettivo di rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi.

Vediamo come.

Il percorso

Il 2 dicembre 2024 il Consiglio europeo ha adottato due provvedimenti che fanno entrambi parte del “pacchetto” legislativo sulla cibersicurezza, il Regolamento Cyber solidarity act (di seguito: Regolamento) e un emendamento alla legge sulla cibersicurezza, il Cybersecurity act (di seguito: CSA). La proposta era stata presentata dalla Commissione europea il 18 aprile 2023 proprio con l’obiettivo di migliorare la preparazione, il rilevamento e la risposta agli incidenti di sicurezza informatica in tutta l’Unione. Dopo la firma da parte dei presidenti del Consiglio e del Parlamento europeo, entrambi gli atti legislativi saranno pubblicati nella Gazzetta ufficiale dell’UE ed entreranno in vigore 20 giorni dopo la loro pubblicazione.

Le sfide

Occorre accrescere la resilienza ad ogni livello, cittadini, imprese, gestori delle infrastrutture critiche, non solo investire ma anche creare capacità per sviluppare quelle competenze per assicurare il rilevamento e la capacità di risposta e la ripresa dopo gli incidenti. La nuova iniziativa si affianca alle misure già adottate dall’Unione per ridurre la vulnerabilità e accrescere la resilienza delle infrastrutture e dei soggetti critici. Oggi l’esigenza è rivolta a rafforzare la solidarietà, la condivisione delle informazioni, la capacità di rilevare, preparare e rispondere alle minacce e agli incidenti, occorre intervenire con efficacia: sono tutte sfide che vanno affrontate insieme superando ogni resistenza. Sicuramente assicurarne l’implementazione non sarà semplice: servirà un forte coordinamento tra i diversi Paesi che dovrà, soprattutto, mirare a superare le esistenti differenze legislative e tecnologiche senza, allo stesso tempo, trascurare i diritti fondamentali e la riservatezza delle informazioni. Occorre puntare sulla compattezza e determinazione dell’Unione quale premessa indispensabile per vincere tali sfide.

Gli strumenti

In primo luogo, il Cyber Solidarity Act prevede l’istituzione:

1. all’art.3 di una rete paneuropea dei poli informatici nazionali e transfrontalieri[1], presupposto di un sistema europeo di allerta per la cibersicurezza, per condividere le informazioni, sviluppare e rafforzare le capacità di analisi, rilevamento e prevenzione delle minacce cibernetiche. Il sistema di allerta avrà principalmente la funzione di:
   • lavorare insieme ai soggetti e alle autorità competenti per contribuire ad una migliore protezione e risposta alle minacce;
   • mettere in comune dati e informazioni pertinenti e condividere informazioni provenienti dai diversi attori;
   • raccogliere, sostenere e condividere le analisi sulle minacce e tutte le informazioni;
   • contribuire a migliorare il rilevamento coordinato delle minacce in tutta l’Unione e fornire segnalazioni e raccomandazioni specifiche ai soggetti;
   • fornire servizi e attività compreso il contributo allo sviluppo di strumenti e tecnologie avanzati.
2. all’art. 10 di un meccanismo per le emergenze che permetterà, congiuntamente alle risorse nazionali, di migliorare la risposta agli incidenti, sempre in uno spirito di solidarietà; sono previste in particolare:
   • azioni di preparazione dei soggetti che operano nei settori critici, compresi test nei settori altamente critici (sanità, trasporti, energia…) per individuare potenziali vulnerabilità, sulla base di scenari di rischio e metodologie comuni;
   • azioni a sostegno della risposta che devono essere svolte da fornitori di fiducia di servizi di sicurezza gestiti che partecipano alla riserva[2] di sicurezza informatica dell’Unione composta da servizi di risposta agli incidenti in grado di intervenire su richiesta di uno Stato membro o di istituzioni, organismi o agenzie UE, nonché di paesi terzi associati, in caso di un incidente di sicurezza informatica significativo o su larga scala”;
   • azioni a sostegno dell’assistenza tecnica reciproca, volti a sostenere uno Stato membro che fornisce assistenza tecnica ad un altro Stato membro in caso di incidente.
3. all’art. 21 di un meccanismo di riesame degli incidenti per valutare, tra l’altro, l’efficacia delle azioni nell’ambito del meccanismo di emergenza informatica e l’uso della riserva di sicurezza informatica per aumentare la preparazione e migliorare le capacità di risposta agli incidenti nell’UE, sostenere gli Stati membri nella preparazione e nella risposta agli incidenti, nella mitigazione del loro impatto e nella ripresa.

È evidente come l’obiettivo dichiarato del Regolamento sia proprio quello di rafforzare la cooperazione transfrontaliera tra Governi, aziende e istituzioni per gestire le emergenze informatiche con la condivisione di risorse tecnologiche avanzate e assistere gli Stati membri in difficoltà.
Tale approccio mira a garantire che anche i Paesi con risorse limitate possano beneficiare di un livello avanzato di protezione, riducendo le disuguaglianze nella sicurezza informatica all’interno dell’Unione Europea.

È evidente come la cibersicurezza non può e non deve essere considerata una questione nazionale: è un problema europeo e, come tale, deve essere affrontato. Siamo di fronte ad un primo passo per una resilienza collettiva europea di fronte alle crescenti minacce informatiche.

L’emendamento al CSA

Le modifiche introdotte sono soprattutto volte a rafforzare la resilienza informatica dell’UE, aprendo la strada alla futura adozione di schemi di certificazione europei per i servizi di sicurezza gestiti.

In particolare, si chiarisce la stessa definizione di “servizi di sicurezza gestiti”, allineandoli ai principi della direttiva NIS 2 oltre a riconoscerne il ruolo e la crescente importanza nella prevenzione, nel rilevamento, nella risposta e nel ripristino degli incidenti di cybersecurity.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Cfr. art. 2 del Regolamento, definizione di “Polo informatico transfrontaliero”: una piattaforma multinazionale, istituita mediante un accordo scritto, che riunisce in una struttura di rete coordinata i poli informatici di almeno tre Stati membri.

[2] Cfr. art. 14 e seguenti del Regolamento “Istituzione della riserva dell’UE per la cibersicurezza”.