INFORMATION TECHNOLOGY
Entrato in vigore ed applicabile il Cyber Solidarity Act della UE.
Il 4 febbraio 2025 è entrato in vigore ed è applicabile 25 è stato ufficialmente pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento 2025/35 che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il regolamento (UE) 2021/694 (Cyber Solidarity Act).
Il nuovo regolamento stabilisce le capacità dell'UE per rendere l'Europa più resiliente e reattiva di fronte alle minacce informatiche, rafforzando nel contempo i meccanismi di cooperazione.
Esso mira principalmente a:
Il nuovo regolamento prevede inoltre la creazione di un meccanismo per le emergenze di cibersicurezza destinato ad accrescere la preparazione e potenziare le capacità di risposta agli incidenti nell'UE. Tale meccanismo sosterrà:
Modifica mirata del regolamento sulla cibersicurezza del 2019.
La modifica mirata intende rafforzare la ciberresilienza dell'UE consentendo la futura adozione di sistemi europei di certificazione per i "servizi di sicurezza gestiti". I servizi di sicurezza gestiti, offerti ai clienti da imprese specializzate, sono essenziali per la prevenzione e il rilevamento degli incidenti di cibersicurezza, la risposta agli stessi o la ripresa da essi. Possono consistere, ad esempio, nella gestione degli incidenti, in test di penetrazione, in audit di sicurezza e nella consulenza relativa all'assistenza tecnica.
La modifica consentirà l'introduzione di sistemi europei di certificazione per i servizi di sicurezza gestiti. Contribuirà ad aumentarne la qualità e comparabilità, a promuovere l'emergere di fornitori di servizi di cibersicurezza affidabili e a evitare la frammentazione del mercato interno, visto che alcuni Stati membri hanno già iniziato ad adottare sistemi nazionali di certificazione per i servizi di sicurezza gestiti. In attesa del riesame periodico del regolamento sulla cibersicurezza, previsto entro il 28 giugno 2024, l'accordo provvisorio:
Il nuovo regolamento stabilisce le capacità dell'UE per rendere l'Europa più resiliente e reattiva di fronte alle minacce informatiche, rafforzando nel contempo i meccanismi di cooperazione.
Esso mira principalmente a:
- sostenere il rilevamento e la conoscenza delle minacce e degli incidenti di cibersicurezza significativi o su vasta scala
- rafforzare la preparazione e proteggere i soggetti critici e i servizi essenziali, come gli ospedali e i servizi pubblici
- rafforzare la solidarietà a livello dell'UE, la gestione concertata delle crisi e le capacità di risposta in tutti gli Stati membri
- contribuire a garantire un panorama digitale sicuro per i cittadini e le imprese
Il nuovo regolamento prevede inoltre la creazione di un meccanismo per le emergenze di cibersicurezza destinato ad accrescere la preparazione e potenziare le capacità di risposta agli incidenti nell'UE. Tale meccanismo sosterrà:
- azioni di preparazione, compreso lo svolgimento di verifiche presso soggetti che operano in settori altamente critici (sanità, trasporti, energia ecc.) per rilevare potenziali vulnerabilità sulla base di scenari di rischio e metodologie comuni
- una nuova riserva dell'UE per la cibersicurezza, consistente in servizi di risposta agli incidenti erogati dal settore privato che sono pronti a intervenire su richiesta di uno Stato membro o di istituzioni, organi e organismi dell'UE, nonché di paesi terzi associati, in caso di incidenti di cibersicurezza significativi o su vasta scala
- assistenza reciproca in termini finanziari
Modifica mirata del regolamento sulla cibersicurezza del 2019.
La modifica mirata intende rafforzare la ciberresilienza dell'UE consentendo la futura adozione di sistemi europei di certificazione per i "servizi di sicurezza gestiti". I servizi di sicurezza gestiti, offerti ai clienti da imprese specializzate, sono essenziali per la prevenzione e il rilevamento degli incidenti di cibersicurezza, la risposta agli stessi o la ripresa da essi. Possono consistere, ad esempio, nella gestione degli incidenti, in test di penetrazione, in audit di sicurezza e nella consulenza relativa all'assistenza tecnica.
La modifica consentirà l'introduzione di sistemi europei di certificazione per i servizi di sicurezza gestiti. Contribuirà ad aumentarne la qualità e comparabilità, a promuovere l'emergere di fornitori di servizi di cibersicurezza affidabili e a evitare la frammentazione del mercato interno, visto che alcuni Stati membri hanno già iniziato ad adottare sistemi nazionali di certificazione per i servizi di sicurezza gestiti. In attesa del riesame periodico del regolamento sulla cibersicurezza, previsto entro il 28 giugno 2024, l'accordo provvisorio:
- chiarisce la definizione di "servizi di sicurezza gestiti" e garantisce l'allineamento alla direttiva riveduta sulle reti e i sistemi informativi (NIS 2)
- allinea gli obiettivi di sicurezza di tali sistemi di certificazione agli obiettivi di sicurezza di altri sistemi ai sensi del regolamento sulla cibersicurezza in vigore
- contiene modifiche dell'allegato del regolamento sulla cibersicurezza, in cui figura un elenco di requisiti che gli organismi di valutazione della conformità devono soddisfare
- specifica che la consultazione di tutti i soggetti pertinenti da parte dell'ENISA dovrebbe avvenire tempestivamente e prevede la possibilità che l'ENISA o la Commissione presentino ai colegislatori note informative trimestrali sul funzionamento dei sistemi di certificazione.
