Il Comitato europeo per la protezione dei dati (“EDPB“) e il Garante europeo della protezione dei dati (“EDPS“) hanno pubblicato un parere congiunto (“Parere congiunto“) sulle proposte della Commissione europea di revisione del quadro normativo UE in materia di cybersicurezza, ossia il Cybersecurity Act 2 (“CSA2”) e le modifiche alla direttiva NIS2 (congiuntamente, le “Proposte”).
Il parere fornisce una valutazione strutturata delle modifiche proposte, illustrandone le principali implicazioni e sollevando questioni rilevanti in materia di protezione dei dati personali.
ENISA: ruolo rafforzato e punto di accesso unico
Le Proposte introducono cambiamenti significativi al ruolo di ENISA:
- da un lato, ne rafforzano il mandato, rendendola più operativa e centrale nel supporto alle politiche di cybersicurezza dell’UE;
- dall’altro, le attribuiscono una funzione chiave come punto di accesso unico per la segnalazione degli incidenti, con l’obiettivo di semplificare gli obblighi per le organizzazioni.
L’EDPB e l’EDPS accolgono positivamente questi sviluppi, in particolare i potenziali guadagni di efficienza derivanti da un sistema di segnalazione centralizzato. Attualmente, infatti, la necessità di notificare incidenti in più Stati membri rappresenta un onere significativo di compliance per le organizzazioni, che può altresì incidere in senso negativo sulla consapevolezza complessiva degli incidenti da parte delle autorità competenti.
Allo stesso tempo, il Parere congiunto sottolinea che l’espansione dei compiti di ENISA potrebbe comportare il trattamento di grandi volumi di informazioni, inclusi potenzialmente dati personali. Per questo motivo, viene evidenziata la necessità di definire chiaramente l’ambito di tale trattamento e di garantire adeguate garanzie, in linea con i principi di necessità e proporzionalità previsti dal GDPR e dalle norme applicabili in materia di protezione dei dati.
European Cybersecurity Skills Framework (ECSF)
L’articolo 19 della proposta CSA2 introduce il quadro europeo delle competenze in materia di cybersicurezza (ECSF). Il framework mira a garantire che professionisti della cybersicurezza, datori di lavoro, enti di formazione e autorità pubbliche nei vari Stati membri abbiano una visione condivisa delle competenze richieste per i diversi ruoli nel settore della cybersicurezza.
In particolare, tale framework mira a contribuire a:
- definire profili professionali chiari;
- stabilire requisiti di qualificazione trasparenti;
- migliorare l’allineamento tra sistemi educativi e mercato del lavoro;
- fornire una base strutturata per le attività formative nel settore della cybersicurezza.
L’EDPB e l’EDPS accolgono positivamente questa iniziativa, in quanto mira ad aumentare il livello complessivo delle competenze in materia di cybersicurezza nell’Unione. Tuttavia, raccomandano di estenderne l’ambito oltre i soli professionisti del settore.
Poiché i recenti incidenti informatici derivano sempre più spesso da errori umani – inclusi comportamenti di dipendenti in ruoli operativi o non specialistici – è essenziale diffondere competenze e consapevolezza di base in materia di sicurezza informatica a tutta la forza lavoro. Limitare il framework agli specialisti rischierebbe di trascurare una delle principali fonti di vulnerabilità.
Sicurezza della supply chain ICT
La proposta CSA2 introduce anche misure volte a rafforzare la sicurezza delle catene di approvvigionamento ICT, includendo anche la gestione di rischi non tecnici come quelli geopolitici, legali e strategici.
L’EDPB e l’EDPS accolgono favorevolmente questa iniziativa come un passo importante per rafforzare la resilienza dei settori critici. Sebbene tali rischi non siano strettamente legati alla cybersicurezza, possono incidere in modo significativo sulla continuità operativa delle organizzazioni; è quindi essenziale, anche in linea con l’approccio della direttiva CER, che le imprese siano in grado di gestire incidenti di diversa natura, non limitati esclusivamente al profilo cyber.
Estensione delle entità essenziali ai sensi della NIS2
Le modifiche proposte alla direttiva NIS2 ampliano l’ambito delle “entità essenziali” includendo, tra gli altri, i fornitori di portafogli di identità digitale e di business wallet.
L’EDPB e l’EDPS sostengono questa estensione, osservando che tali servizi stanno assumendo un ruolo sempre più centrale nell’ecosistema digitale europeo. In particolare, si prevede che acquisiranno ulteriore rilevanza alla luce degli sviluppi legati al portafoglio europeo di identità digitale (EU Digital Identity Wallet), destinato a diventare uno strumento chiave per l’identificazione digitale all’interno dell’Unione Europea.
Segnalazione degli attacchi ransomware
Le Proposte introducono inoltre nuovi obblighi relativi alla segnalazione degli attacchi ransomware. Le entità potrebbero essere tenute a fornire informazioni dettagliate ai Computer Security Incident Response Teams (CSIRT), tra cui:
- se è stato pagato un riscatto;
- l’importo del riscatto;
- i destinatari del pagamento.
Questa misura è particolarmente rilevante alla luce della crescente grado di sofisticatezza degli attacchi informatici. L’accesso a informazioni dettagliate è infatti essenziale per comprendere meglio le minacce, migliorare le strategie di risposta e contribuire alla lotta contro le organizzazioni criminali. L’assenza di un approccio coordinato e di condivisione di informazioni tra gli Stati membri a livello UE potrebbe compromettere la risposta verso attacchi particolarmente complessi.
Allo stesso tempo, l’EDPB e l’EDPS sottolineano che tali obblighi possono comportare il trattamento di dati sensibili e richiedono quindi adeguate garanzie in materia di protezione dei dati.
Conclusione
Nel complesso, il Parere congiunto esprime un sostegno generale alle riforme proposte, pur ponendo particolare enfasi sulla necessità di garantire un elevato livello di protezione dei dati personali, soprattutto nel contesto della condivisione delle informazioni.
Resta ora da attendere gli sviluppi legislativi per comprendere il futuro della cybersicurezza nell’Unione Europea e in che misura le osservazioni sollevate nel Parere congiunto saranno prese in considerazione.
