Il Cyber Solidarity Act si annovera, accanto al Cyber Resilience Act, tra le più recenti proposte nel pacchetto di resilienza cibernetica dalla Commissione europea, che ha l’obiettivo di potenziare la collaborazione tra Stati membri attraverso l’istituzione di meccanismi di contrasto europeo agli attacchi cyber transfrontalieri.
Con l’ottavo articolo della rubrica CyberItalia, approfondiamo le principali previsioni e meccanismi di solidarietà europea che il Cyber Solidarity Act si propone di introdurre a valle della sua approvazione.
Come anticipato, il Cyber Solidarity Act (CSA) è uno strumento finalizzato a rafforzare le capacità dell’Unione Europea di prevenire, individuare e reagire a minacce e attacchi informatici su larga scala con un approccio coeso e condiviso tra gli Stati, in particolare quando gli attacchi abbiano impatti su più paesi. A differenza quindi di altri atti normativi (es. NIS2, DORA, proposta di CRA) che includono disposizioni di cooperazione transfrontaliera in maniera incidentale, nel CSA la creazione di un sistema di collaborazione europeo diventa l’obiettivo centrale del regolamento.
Quando? La proposta è stata presentata dalla Commissione UE il 18 aprile 2023. Sono ancora in una fase preliminare le discussioni all’interno del Consiglio dell’UE e del Parlamento per la definizione di un primo testo di compromesso.
A chi si rivolge? La proposta di regolamento è prevalentemente diretta all’introduzione di nuovi meccanismi e infrastrutture a livello europeo che sostengano il rafforzamento di competenze di cybersecurity nell’UE, ampliando i compiti e ruoli degli enti competenti già attività nel settore.
Cosa prevede? La proposta di Cyber Solidarity Act mira a introdurre:
- European Cyber Shield – lo Scudo Cibernetico è una infrastruttura pan-europea di SOCs (Security Operations Centers) nazionali e trasfrontalieri, che operando congiuntamente dovrebbero garantire un quadro uniforme di monitoraggio e analisi di possibili minacce informatiche, velocizzando quindi i tempi di allarme e risposta tra diversi Stati.
- Cyber Emergency Mechanism – un meccanismo di emergenza che si declina nei seguenti obiettivi:
1) supportare le azioni preparatorie, ossia offrire supporto nella verifica di particolari criticità in settori cruciali come il settore sanitario, trasporti, energia;
2) creazione di una EU Cybersecurity Reserve, ossia offrire servizi di supporto e risposta agli incidenti da parte di fornitori fiduciari pronti a intervenire, su richiesta di uno Stato membro, istituzioni o organi dell’UE per supportarli nella gestione di incidenti cibernetici su larga scala
3) promuovere l’assistenza reciproca tra gli Stati membri nel caso di attacco cibernetico.
- Cybersecurity Incident Review Mechanism – il meccanismo di revisione degli incidenti di cybersecurity è volto a esaminare e valutare ex-post gli incidenti significativi o su larga scala, da parte dell’EU-CyCLONe (“Cyber Crisis Liaison Organisation Network”), la rete di CSIRTs e l’ENISA.
Parallelamente al CSA, verrà istituita anche una Cybersecurity Skill Academy (Accademia europea di competenze cybersecurity) con l’obiettivo di accrescere il numero di esperti qualificati, colmando il gap di competenze tra gli Stati membri.
Il 5 ottobre 2023, la Corte Europea dei Conti (ECA) ha formulato il proprio parere sul CSA, evidenziando il rischio che i meccanismi previsti non siano economicamente sostenibili nel lungo periodo, oltre a rendere più difficile la condivisione di informazioni e più complesso il panorama europeo sulla cybersecurity.
Il CSA potrebbe quindi essere sottoposto a un nuovo round di discussioni e modifiche, che dovrebbero tuttavia concludersi entro la fine di quest’anno.
Sulla cybersicurezza vedi anche: CyberItalia: L’evoluzione normativa della cybersecurity in Italia (dirittoaldigitale.com); CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole; CyberItalia: Prima normativa italiana cybersicurezza – il Decreto NIS in pillole (dirittoaldigitale.com); CyberItalia: Come il Cybersecurity Act cambia la cybersicurezza (dirittoaldigitale.com); CyberItalia: Perimetro di Sicurezza Nazionale Cibernetica (dirittoaldigitale.com); Come conformarsi al Regolamento DORA sulla cybersecurity (dirittoaldigitale.com); Il panorama della cybersicurezza in Italia: Cyber Resilience Act (dirittoaldigitale.com); Un nuovo piano per la resilienza Europea: il Cyber Solidarity Act (dirittoaldigitale.com).
Autore: Maria Chiara Meneghetti
