Con la proposta di legge sulla solidarietà informatica dell’UE, conosciuta come Cyber Solidarity Act, la Commissione risponde agli inviti dei Paesi membri a rafforzare la resilienza dell’UE. Concretamente si parla di una normativa che insieme al Cyber Resilience Act e alla Direttiva Nis2 si integra nelle strategie UE per la cybersicurezza in una visione unitaria del problema comune ai Paesi dell’Unione.
Cyber Solidarity Act serve a rafforzare le capacità dell’UE di individuare, prepararsi e rispondere a minacce e attacchi alla sicurezza informatica significativi e su larga scala. Contempla quindi un sistema europeo di allarm, composto da centri operativi di sicurezza interconnessi in tutta l’UE, con meccanismi condivisi per le emergenze sulla sicurezza informatica. E’ di questi giorni la notizia che la Commissione accoglie con favore l’accordo politico raggiunto tra il Parlamento europeo e il Consiglio su questa legge, proposta per la prima volta dalla Commissione stessa nell’aprile 2023. Ricordiamo che il Parlamento, il Consiglio dell’UE e la Commissione hanno potere decisionale di tipo normativo ed agiscono in modo coordinato. Di regola, è compito della Commissione proporre le nuove norme, mentre spetta al Parlamento e al Consiglio adottarle, così come compito della Commissione è anche quello di controllare la corretta applicazione delle norme da parte dei Paesi membri.
European Solidarity Act prevede nell’idea dei legislatori un sistema composto da Soc nazionali e transnazionali in tutta l’UE, che utilizzeranno tecnologie avanzate come l’intelligenza artificiale e l’analisi dei dati per rilevare e condividere avvisi sulle minacce con le autorità transnazionali. Ancora prima della proposta della Commissione, a fine 2022, l’Unione ha provveduto a selezionare tre consorzi Soc transnazionali a riunire enti pubblici di 17 Paesi membri, nell’ambito del programma Digital Europe. Proprio nella primavera 2023 si sono individuati poi due consorzi di Paesi membri per il procurement e le sovvenzioni necessarie a gestire e avviare una fase pilota.
Cyber Solidarity Act, tre linee di azione
Si sono inoltre individuate tre aree di azione per elaborare i meccanismi di emergenza informatica migliori per la preparazione e la risposta agli incident di sicurezza informatica. Ovvero come sostenere le azioni di preparazione agli incident coordinando e mettendo alla prova con test le organizzazioni più critiche negli ambiti finance, energy e sanità per individuare potenziali punti deboli che potrebbero renderle vulnerabili alle minacce informatiche e con la relativa selezione dei settori da testare in base ad una valutazione comune (UE) del rischio.
Si è quindi pensato alla creazione di una Cybersecurity Reserve, comprensiva dei servizi da attivare per rispondere agli incident – servizi forniti da fornitori anche privati disponibili, su richiesta dei Paesi membri o delle istituzioni, degli organi e delle agenzie dell’Unione, per un aiuto ad affrontare questioni significative o incidenti di sicurezza informatica su larga scala. Terzo passaggio si è pensato ad un meccanismo per fare in modo che Paesi membri possano offrirsi assistenza reciproca nei casi di incidenti di particolare gravità. “La via europea verso una piena unione sul tema della sicurezza – commenta Margaritis Schinas, VP for Promoting European Way of Life – richiede una capacità di difesa informatica pienamente operativa. Questa è la direzione definita dal Cyber Solidarity Act, in particolare proprio con la Cyber Reserve dell’UE, che riunisce i migliori esperti possibili per gestire gli attacchi informatici su larga scala”.
Oltre a queste tre aree di azione il Cyber Solidarity Act istituisce il meccanismo di revisione degli incidenti di sicurezza informatica (European Cybersecurity Incident Review Mechanism) per una corretta revisione ed analisi degli incidenti. Su richiesta della Commissione o delle autorità nazionali (la rete EU-Cyclone o Csirt), l’Agenzia dell’UE per la cybersecurity (Enisa) sarà responsabile dell’esame di specifici incident così da fornire una relazione che includa raccomandazioni e best practice sulla base delle lezioni apprese.
In seguito all’accordo tra Parlamento e Consiglio raggiunto, le prossime fasi prevedono l’approvazione formale da parte dei due organismi e una volta formalmente adottato, Cyber Solidarity Act entrerà in vigore il 20esimo giorno successivo alla pubblicazione nella Gazzetta ufficiale. Il regolamento sulla cyber-solidarietà incrementerà i finanziamenti disponibili per le azioni in materia di cybersecurity nell’ambito del programma Digital Europe (conosciuto anche semplicemente come Digital) per il periodo 2025-2027 (e sull’argomento rimandiamo alla pagina dedicata della Commissione).
Oltre a questo però il Parlamento europeo e il Consiglio hanno trovato anche un accordo per la modifica al Cybersecurity Act con l’apertura alla possibilità di adottare modelli europei condivisi di certificazione per i servizi di sicurezza gestiti. Questo faciliterà la possibilità di delineare un quadro unitario per individuare fornitori accreditati per la cybersecurity. Se infatti i servizi di sicurezza gestiti svolgono un ruolo importante nella prevenzione e nella risposta agli incidenti di sicurezza informatica, sono anche essi stessi un bersaglio per autori malintenzionati che cercano di accedere agli ambienti sensibili dei loro clienti. Certificare i servizi a livello europeo rafforzerà la cybersecurity tutta dell’Unione, promuovendo la fiducia e la trasparenza nelle relative supply chain è un aspetto fondamentale per le imprese e gli operatori di infrastrutture critiche, che potranno così disporre di un chiaro punto di riferimento quando scelgono i servizi di sicurezza informatica.
© RIPRODUZIONE RISERVATA