La Commissione Europea propone un regolamento sulla cybersicurezza e sulla sicurezza delle informazioni

Tramite un regolamento sulla cybersicurezza e sulla sicurezza delle informazioni, la Commissione Europea ha proposto un nuovo piano volto ad identificare misure comuni di sicurezza informatica, anche all’interno delle amministrazioni UE, al fine di garantire – a livello europeo – una adeguata sicurezza contro attacchi cyber.

Benché il rischio cyber fosse già alto prima della pandemia, non vi è dubbio che a seguito della stessa ed in concomitanza con i recenti eventi geopolitici, il tema sia diventato ancora più centrale nella politica europea. Ed è proprio in questa ottica che la Commissione europea ha ritenuto opportuno formulare una propria proposta che veda l’adozione di un Regolamento sulla cybersicurezza ed un Regolamento sulla sicurezza delle informazioni.

Tali nuovi disposti normativi sarebbero pienamente in armonia con l’attuale impianto normativo cyber, ed in particolare con le Direttive NIS e il Cybersecurity Act. Lo scopo è però quello di fare un passo oltre ed imporre l’applicazione di regole stringenti anche alle amministrazioni pubbliche.

In tal senso il Regolamento sulla cybersicurezza dovrebbe introdurre un piano di governance volto alla gestione del rischio e al controllo nel settore della sicurezza informatica. Il Regolamento dovrebbe infatti imporre a tutte le istituzioni UE di adottare delle misure di sicurezza informatica volte a tutelare dal rischio cyber, svolgere audit regolari sulle misure adottate e condividere eventuali informazioni inerenti incidenti di sicurezza con il CERT-EU (il c.d. Computer Emergency Response Team, che dovrebbe poi assumere il nome di Cybersecurity Centre). Da ultimo il regolamento prevederà la creazione di un Cybersecurity Board interistituzionale sulla sicurezza informativa per guidare e monitorare l’attuazione del regolamento.

Allo stesso tempo il Regolamento sulla sicurezza delle informazioni intende identificare un set di norme e standard di sicurezza applicabile a tutte le istituzioni al fine di permettere lo scambio delle informazioni stesse senza rischi. In questo caso gli elementi chiave della proposta di regolamento sulla sicurezza delle informazioni sono simili a quelli del Regolamento sulla cybersicurezza: da un lato creare una governance efficiente per promuovere la cooperazione tra le istituzioni, dall’altro stabilire un approccio comune alla categorizzazione delle informazioni basato su un condiviso livello di riservatezza. Questo anche nell’ottica della trasformazione digitale e del lavoro a distanza che stanno caratterizzando, così come negli altri contesti, le istituzioni europee negli ultimi anni.

Benché i suindicati regolamenti non abbiano applicazione nel settore privato la loro strutturazione e le regole tecniche che verranno adottate potranno certamente essere di aiuto anche alle aziende che vogliano (o debbano) adottare dei sistemi di governance aziendale in materia di sicurezza informatica. Inoltre, tali documenti altro non fanno che confermare l’attuale interesse dell’Unione Europea ai temi della cybersecurity. Risale al 2020 infatti l’ultima strategia della Commissione Europea in materia di cybersicurezza, predisposta con il fine di rafforzare la resilienza dell’Europea a fronte delle minacce informatiche e garantire che tutti i cittadini e le imprese possano beneficiare di servizi e strumenti digitali affidabili.

Non possiamo quindi che aspettarci delle nuove evoluzioni sul tema non solo in ambito pubblico ma soprattutto in ambito privato.

Su di un simile argomento, potrebbe interessarti: “La Direttiva NIS2 amplierà gli obblighi di cybersecurity a più imprese”.