La Commissione europea ha adottato una proposta relativa al nuovo Cyber Solidarity Act per rafforzare la sicurezza informatica nell’UE. La normativa sosterrà il rilevamento delle minacce e degli incidenti cyber, accrescerà la consapevolezza in materia e rafforzerà la preparazione dei soggetti critici e le capacità di gestione e di risposta concertate in caso di crisi in tutti gli Stati membri. Il Cyber Solidarity Act istituisce le capacità dell’UE per rendere l’Europa più resiliente e reattiva di fronte alle minacce informatiche, rafforzando allo stesso tempo i meccanismi di cooperazione esistenti, contribuendo a garantire un panorama digitale sicuro per i cittadini e le imprese e a proteggere i soggetti critici e i servizi essenziali, quali gli ospedali e i servizi pubblici.
La Commissione ha inoltre presentato la Cybersecurity Skills Academy nell’ambito dell’Anno europeo delle competenze 2023, per garantire un approccio più coordinato volto a colmare il divario di talenti nel settore della cybersecurity, condizione preliminare per rafforzare la resilienza dell’Europa. L’Academy riunirà varie iniziative esistenti volte a promuovere le competenze in materia di sicurezza informatica e le renderà disponibili su una piattaforma online, accrescendone la visibilità e aumentando il numero di professionisti qualificati della cybersecurity nell’UE.
Sulla base di un solido quadro strategico, politico e legislativo già in vigore, le proposte relative al Cyber Solidarity Act e al Cybersecurity Skills Academy contribuiranno ulteriormente a migliorare il rilevamento delle minacce informatiche e a rafforzare la resilienza e la preparazione a tutti i livelli dell’ecosistema di cybersecurity dell’UE.
EU Cyber Solidarity Act
Il Cyber Solidarity Act rafforzerà la solidarietà a livello dell’Unione per migliorare il rilevamento degli incidenti cyber significativi o su vasta scala e la preparazione e la risposta agli stessi attraverso la creazione di uno scudo europeo per la sicurezza informatica e di un meccanismo globale per le emergenze.
Per rilevare le principali minacce informatiche in modo rapido ed efficace la Commissione propone l’istituzione di un cyber-scudo europeo, un’infrastruttura paneuropea composta da centri operativi di sicurezza nazionali e transfrontalieri in tutta l’UE. Si tratta di soggetti incaricati di rilevare le minacce informatiche e intervenire di conseguenza, che utilizzeranno tecnologie all’avanguardia, quali l’intelligenza artificiale (IA) e l’advanced data analytics, per individuare le minacce e gli incidenti informatici a livello transfrontaliero e condividere tempestivamente avvertimenti. Ciò permetterà alle autorità e ai soggetti pertinenti di rispondere agli incidenti gravi in modo più efficiente ed efficace.
I centri potrebbero essere operativi all’inizio del 2024. Come fase preparatoria del cyber-scudo europeo, nell’aprile 2023 la Commissione ha selezionato, nell’ambito del programma Europa digitale, 3 consorzi di centri operativi di sicurezza transfrontalieri, che riunivano enti pubblici di 17 Stati membri e dell’Islanda.
Il Cyber Solidarity Act comprende inoltre la creazione di un Cyber Emergency Mechanism per accrescere la preparazione e potenziare le capacità di risposta agli incidenti nell’UE. Tale meccanismo sosterrà:
- azioni di preparazione, compresa l’effettuazione di test su soggetti di settori altamente critici (sanità, trasporti, energia ecc.) per rilevare potenziali vulnerabilità sulla base di scenari e metodologie di rischio comuni;
- la creazione di una nuova EU Cybersecurity Reserve, costituita da servizi di risposta agli incidenti prestati da fornitori affidabili con cui è già stato sottoscritto un contratto e che sono quindi pronti a intervenire, su richiesta di uno Stato membro o di istituzioni, organi e organismi dell’Unione, in caso di incidenti cyber significativi o su vasta scala;
- la fornitura di sostegno finanziario per l’assistenza reciproca, nei casi in cui uno Stato membro possa offrire assistenza a un altro Stato membro.
La proposta di regolamento istituisce inoltre il Cybersecurity Incident Review Mechanism per rafforzare la resilienza dell’Unione attraverso il riesame e la valutazione degli incidenti cyber significativi o su vasta scala dopo che si sono verificati, traendo insegnamenti e, ove opportuno, formulando raccomandazioni per migliorare la postura cyber dell’Unione.
La dotazione complessiva per tutte le azioni nell’ambito dell’UE Cyber Solidarity Act è di 1,1 miliardi di €, di cui circa 2/3 saranno finanziati dall’UE mediante il programma Europa digitale.
EU Cybersecurity Skills Academy
L’Academy riunirà iniziative private e pubbliche volte a promuovere le competenze in materia di cybersecurity a livello europeo e nazionale, accrescendone la visibilità e contribuendo a colmare il divario di talenti in materia dei professionisti del settore.
All’Academy sarà inizialmente riservato uno spazio online sulla piattaforma della Commissione per le competenze e le occupazioni digitali. I cittadini interessati a intraprendere una carriera nella cybersecurity avranno a disposizione un unico luogo online in cui trovare opportunità di formazione e certificazione in tutta l’UE. Potranno inoltre impegnarsi a offrire il proprio sostegno al miglioramento delle competenze in materia di cybersecurity nell’UE avviando azioni specifiche, ad esempio offrendo formazioni e certificazioni nel campo.
L’Academy si evolverà in modo da comprendere uno spazio comune per il mondo accademico, gli erogatori di formazione e l’industria, che li aiuterà a coordinare programmi di istruzione, formazioni e finanziamenti e monitorare l’evoluzione del mercato del lavoro nel settore della cybersecurity.
Sistemi di certificazione per i servizi di sicurezza gestiti
La Commissione ha inoltre proposto una modifica mirata del Cybersecurity Act per consentire la futura adozione dei sistemi di certificazione per i “servizi di sicurezza gestiti”. Si tratta di servizi altamente critici e sensibili prestati da fornitori di servizi di cybersecurity, quali servizi di risposta agli incidenti, penetration testing, audit di sicurezza e consulenza, per assistere le imprese e le altre organizzazioni a prevenire e rilevare gli incidenti informatici, a rispondervi o a riprendersi dagli stessi.
La certificazione è fondamentale e può svolgere un ruolo importante nel contesto della Cybersecurity Reserve dell’UE e della direttiva relativa a misure per un livello comune elevato di cybersecurity nell’Unione (direttiva NIS 2), facilitando anche la fornitura transfrontaliera di tali servizi.
Prossime step
Il Parlamento europeo e il Consiglio esamineranno la proposta di normativa dell’UE Cyber Solidarity Act e la modifica mirata del Cybersecurity Act.
Lo European Cybersecurity Competence Centre organizzerà un appalto congiunto di strumenti e infrastrutture con i centri operativi di sicurezza transfrontalieri selezionati per creare capacità di rilevamento delle minacce informatiche.
L’Agenzia dell’UE per la cybersecurity (ENISA) e lo European Cybersecurity Competence Centre continueranno a lavorare sulle competenze in materia di cybersecurity, contribuendo all’attuazione della Cybersecurity Skills Academy in linea con i rispettivi mandati e in stretta collaborazione con la Commissione e gli Stati membri.
La Commissione propone che l’Academy assuma la forma di un consorzio per l’infrastruttura digitale europea (EDIC), un nuovo quadro giuridico per l’attuazione di progetti multinazionali. Questa possibilità sarà discussa con gli Stati membri.
È inoltre necessario garantire che i professionisti seguano le necessarie formazioni di qualità. A tal proposito l’ENISA svilupperà un progetto pilota che valuterà l’istituzione di un sistema europeo di attestazione per le competenze in materia di cybersecurity.
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2243
