La Commissione europea ha presentato ieri un nuovo pacchetto sulla cybersicurezza che mira a rafforzare la resilienza e le capacità dell’UE in risposta ai frequenti attacchi informatici e ibridi contro servizi essenziali e istituzioni democratiche condotti da gruppi cybercriminali.
ll pacchetto comprende una proposta di revisione del Cybersecurity act, che ha l’obiettivo di rafforzare la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione (Ict) dell’UE. Mira anche a garantire che i prodotti che raggiungono i cittadini dell’UE siano sicuri dal punto di vista informatico fin dalla progettazione, attraverso un processo di certificazione più semplice. Prevede misure in materia di conformità alle norme UE vigenti sulla cybersicurezza e disposizioni relative al ruolo dell’Agenzia dell’UE per la cybersicurezza (ENISA) nel supporto agli Stati membri e all’UE nella gestione delle minacce informatiche.
Migliorare la sicurezza delle catene di approvvigionamento Ict nell’UE
Il nuovo Cybersecurity act mira a ridurre i rischi nella catena di approvvigionamento Ict dell’UE derivanti da fornitori di paesi terzi che presentano criticità in materia di cybersicurezza. Esso definisce un quadro di sicurezza per catene di approvvigionamento Ict più affidabili, basato su un approccio armonizzato, proporzionato e fondato sul rischio. Ciò dovrebbe consentire all’UE e agli Stati membri di individuare e mitigare congiuntamente i rischi nei 18 settori critici dell’UE, tenendo conto anche degli impatti economici e dell’offerta di mercato.
Il Cybersecurity act prevede la riduzione obbligatoria dei rischi nelle reti europee di telecomunicazioni mobili legati a fornitori di paesi terzi considerati ad alto rischio, sulla base del lavoro svolto nell’ambito del toolbox per la sicurezza del 5G.
Semplificare e migliorare il quadro europeo di certificazione della cybersicurezza
Il Cybersecurity act riveduto mira anche a garantire che i prodotti e i servizi che raggiungono i consumatori dell’UE siano testati in modo più efficiente sotto il profilo della sicurezza. Ciò dovrebbe avvenire attraverso un rinnovato European Cybersecurity Certification Framework (ECCF). L’ECCf ha l’obiettivo di offrire maggiore chiarezza e procedure più semplici, consentendo lo sviluppo degli schemi di certificazione entro 12 mesi come impostazione predefinita. Include anche una governance più agile e trasparente per coinvolgere meglio i portatori di interesse attraverso informazione pubblica e consultazione.
Facilitare la conformità alle norme di cybersicurezza
Il pacchetto introduce misure volte a semplificare la conformità alle norme UE in materia di cybersicurezza e ai requisiti di gestione del rischio per le imprese che operano nell’UE, integrando il punto di ingresso unico per la segnalazione degli incidenti proposto nel Digital Omnibus. Modifiche mirate alla direttiva Nis2 mirano ad aumentare la chiarezza giuridica. Le modifiche sono indicate come volte a incidere sulla conformità di circa 28.700 imprese, comprese 6.200 micro e piccole imprese. È inoltre prevista l’introduzione di una nuova categoria di imprese small mid-cap, con l’obiettivo dichiarato di intervenire sui costi di conformità per circa 22.500 imprese. Le stesse modifiche comprendono disposizioni in materia di norme sulla giurisdizione, raccolta dei dati sugli attacchi ransomware e vigilanza delle entità transfrontaliere, con riferimenti al ruolo di coordinamento di Enisa.
Il Cybersecurity act sarà applicabile immediatamente dopo l’approvazione da parte del Parlamento europeo e del Consiglio dell’UE. Anche le modifiche di accompagnamento alla direttiva Nis2 saranno presentate per l’approvazione. Una volta adottate, gli Stati membri avranno un anno di tempo per recepire la direttiva nel diritto nazionale e comunicare alla Commissione i testi pertinenti.
