L’Europa ha proposto nuove regole per stabilire misure comuni di cybersecurity e sicurezza delle informazioni tra le istituzioni, gli organi, gli uffici e le agenzie dell’UE.
La Commissione europea, recependo la risoluzione del Consiglio europeo del marzo dello scorso anno, ha proposto nuove regole per stabilire misure comuni di cybersecurity e sicurezza delle informazioni tra le istituzioni, gli organi, gli uffici e le agenzie dell’UE.
Ed infatti, le istituzioni, gli organi e le agenzie dell’Unione sono ormai potenziali bersagli di attori ostili, qualificati e dotati di risorse adeguate.
A tali minacce, ormai sempre più pervasive, non corrispondono tuttavia livelli omogenei di maturità della resilienza informatica e delle capacità di rilevare le minacce e mitigarle in modo appropriato.
È quindi necessario per il funzionamento dell’amministrazione europea che le istituzioni, gli organi e le agenzie dell’Unione raggiungano un livello comune elevato di cybersecurity attraverso la predisposizione di un insieme di regole minime di sicurezza informatica per ridurre al minimo i rischi, attraverso il continuo scambio di informazioni e collaborazione.
Per queste ragioni la proposta regolamentare, in coerenza con le priorità della Commissione europea per rendere l’Europa pronta per l’era digitale, mira ad istituire un quadro comune di norme regolatorie allineante alla normativa vigente, per migliorare ulteriormente la capacità di resilienza e di risposta agli incidenti delle istituzioni europee.
L’iniziativa della Commissione europea si pone altresì in linea di attuazione della strategia dell’Unione della sicurezza dell’UE nonché della strategia dell’UE sulla sicurezza informatica per il decennio digitale ed e si pone altresì in linea con la strategia dell’Unione della sicurezza dell’UE nonché con la strategia dell’UE sulla sicurezza informatica per il decennio digitale.
La proposta modernizza il quadro giuridico CERT-EU esistente e tiene conto della cambiata e accresciuta digitalizzazione delle istituzioni, degli organi e delle agenzie negli ultimi anni come così come del panorama in evoluzione delle minacce alla sicurezza informatica, tenendo anche conto dell’impennata del numero di incidenti conseguenti ad attacchi sempre più sofisticati provenienti da un’ampia gamma di fonti.
Un livello comune elevato di sicurezza informatica richiede dunque che la sicurezza informatica rientri nel controllo del più alto livello di gestione di ciascuna istituzione, organo dell’Unione e agenzia, che deve approvare una baseline per la sicurezza informatica, concepita per affrontare i rischi individuati nel quadro strategico che dovrà essere stabilito da ciascuna istituzione, organo e agenzia.
E così affrontare la cultura della cybersecurity diventa una parte integrante di una base di riferimento per la cibersicurezza in tutte le istituzioni, gli organi e le agenzie dell’Unione.
Le istituzioni, gli organi e le agenzie dell’Unione dovranno pertanto valutare i rischi connessi alle relazioni con fornitori di servizi, inclusi i fornitori di archiviazione ed elaborazione dei dati servizi o servizi di sicurezza gestiti e adottare le misure di mitigazione del rischio appropriate per affrontarli.
Queste misure dovranno a regime far parte del piano della sicurezza informatica ed essere ulteriormente specificate in documenti di orientamento o raccomandazioni emessi dal CERT-EU.
Cybersecurity e CERT-UE: la proposta dell’UE
La proposta, nell’estendere a regime il mandato del CERT-UE, che diventerà così un hub di intelligence sulle minacce, scambio di informazioni e coordinamento della risposta agli incidenti, organo consultivo centrale e fornitore di servizi, prevede la rinomina del CERT-EU da “Computer Emergency Response Team” a “Centro per la sicurezza informatica” per le istituzioni, gli organi e le agenzie dell’Unione (in linea con sviluppi negli Stati membri e nel mondo, dove molti CERT sono rinominati come Cybersecurity Centers) pur mantenendo il nome abbreviato “CERT-EU”, invero più facilmente riconoscibile per rinomanza.
La proposta condurrà inoltre alla creazione di un nuovo comitato interistituzionale per la sicurezza informatica (IICB) che rafforzerà le capacità di sicurezza informatica e stimolerà valutazioni periodiche dei livelli di maturità raggiunti per una migliore igiene informatica.
L’IICB sarà composto da tre rappresentanti nominati dalle agenzie dell’Unione Network (EUAN) su proposta del suo comitato consultivo ICT per rappresentare gli interessi delle agenzie e degli organismi che gestiscono il proprio ambiente IT e un rappresentante designato da una serie di Istituzione, Comitati ed Agenzie europee.
Il CERT-EU, nel mandato esteso proposto, coopererà ulteriormente e scambierà informazioni con le controparti nazionali degli Stati membri, compresi i CERT, i CSIRT e punti di contatto unici del perimetro NIS, sulle minacce informatiche, vulnerabilità e incidenti, su possibili contromisure e su tutte le questioni rilevanti per migliorare la protezione degli ambienti informatici dell’Unione, istituzioni, organi e agenzie.
Il CERT-EU potrà altresì, senza il consenso dell’interessato, scambiare informazioni specifiche sull’incidente con le controparti nazionali degli Stati membri per facilitare il rilevamento di simili minacce informatiche o incidenti.
Inoltre, il CERT-EU, con preventiva approvazione dell’IICB, potrà cooperare con controparti di Stati non membri, compresa l’industria e controparti settoriali su strumenti e metodi, come tecniche, tattiche, procedure e best practices e sulle minacce e vulnerabilità cibernetiche.
La cooperazione, con la preventiva approvazione dell’IICB, sarà ulteriormente consentita al CERT-EU con altri partner, quali enti commerciali, organizzazioni internazionali, enti nazionali non appartenenti all’Unione Europea o persone fisiche esperti, al fine di raccogliere informazioni su minacce informatiche generali e specifiche, vulnerabilità ed eventuali contromisure.
Sul fronte della sicurezza delle informazioni, la proposta di regolamento creerà un insieme minimo di norme e standard di sicurezza delle informazioni per tutte le istituzioni, gli organi, gli uffici e le agenzie dell’UE al fine di garantire una protezione rafforzata e coerente contro l’evoluzione delle minacce alle loro informazioni. Queste nuove norme forniranno le basi per uno scambio sicuro di informazioni tra le istituzioni, gli organi, gli uffici e le agenzie dell’UE e con gli Stati membri, sulla base di pratiche e misure standardizzate preordinate alla più efficace protezione dei flussi di informazioni.
Ecco le principali novità contenute nella proposta di regolamento sulla sicurezza delle informazioni:
- Istituzione di una governance efficiente per promuovere la cooperazione tra tutte le istituzioni, organi, uffici e agenzie dell’UE, in particolare un gruppo interistituzionale di coordinamento per la sicurezza delle informazioni;
- Determinazione di un approccio comune alla classificazione delle informazioni in base al livello di confidenzialità;
- Modernizzazione delle politiche di sicurezza delle informazioni, tenendo conto della trasformazione digitale e dei livelli di diffusione del lavoro a distanza;
- Semplificazione delle pratiche attuali e raggiungimento di un maggiore livello di compatibilità tra sistemi e dispositivi.