Ue, cibersicurezza: modifica mirata del regolamento
Gli Stati dell'Ue hanno concordato una modifica mirata del regolamento sulla sicurezza cibernetica, adottati anche "servizi di sicurezza gestiti" per la prevenzione e il rilevamento degli incidenti di cibersicurezza.
Per rafforzare la ciberresilienza dell'UE consentendo la futura adozione di sistemi europei di certificazione per i "servizi di sicurezza gestiti", i rappresentanti degli Stati membri (Coreper) hanno raggiunto una posizione comune sulla modifica mirata proposta del regolamento UE sulla cibersicurezza del 2019.
I "servizi di sicurezza gestiti" offerti ai clienti da imprese specializzate sono essenziali per la prevenzione e il rilevamento degli incidenti di cibersicurezza, la risposta agli stessi o la ripresa da essi. Possono consistere ad esempio nel rilevamento di incidenti, nella risposta agli stessi, in test di penetrazione o audit di sicurezza o ancora in consulenza.
Obiettivi principali della proposta della Commissione
La modifica mirata del regolamento sulla cibersicurezza, presentata insieme a una proposta di regolamento dell'UE sulla cibersolidarietà tesa a rafforzare le capacità in materia di cibersicurezza nell'UE, mira a integrare nell'ambito di applicazione del regolamento sulla cibersicurezza del 2019 i sistemi europei di certificazione della cibersicurezza per i "servizi di sicurezza gestiti".
La modifica consentirà pertanto l'introduzione di sistemi europei di certificazione per tali servizi. Contribuirà ad aumentarne la qualità e comparabilità, a promuovere l'emergere di fornitori di servizi di cibersicurezza affidabili e a evitare la frammentazione del mercato interno, visto che alcuni Stati membri hanno già iniziato ad adottare sistemi nazionali di certificazione per i servizi di sicurezza gestiti.
Modifiche apportate dal Consiglio
La posizione del Consiglio contiene le seguenti principali modifiche rispetto alla proposta della Commissione:
- chiarisce la definizione di "servizi di sicurezza gestiti" e l'allineamento alla direttiva riveduta sulle reti e i sistemi informativi (NIS 2)
- il testo allinea gli obiettivi di sicurezza di tali sistemi di certificazione agli obiettivi di sicurezza di altri sistemi ai sensi del regolamento sulla cibersicurezza in vigore
- il testo contiene modifiche dell'allegato del regolamento sulla cibersicurezza, in cui figura un elenco di requisiti che gli organismi di valutazione della conformità devono soddisfare
- è stata introdotta una serie di modifiche tecniche e redazionali per garantire che tutte le pertinenti disposizioni del regolamento sulla cibersicurezza in vigore si applichino anche ai servizi di sicurezza gestiti
Prossime tappe
L'accordo odierno sulla posizione comune del Consiglio ("mandato negoziale") consentirà alla presidenza spagnola di avviare i negoziati con il Parlamento europeo ("triloghi") sulla versione definitiva della normativa proposta.
Informazioni generali
Il regolamento sulla cibersicurezza, adottato nel 2019, ha istituito il primo quadro di certificazione della cibersicurezza per tutti gli Stati membri. La certificazione della cibersicurezza è volontaria, salvo diversamente specificato dal diritto dell'Unione o degli Stati membri.
La proposta della Commissione, adottata il 18 aprile 2023, vuole apportare una modifica mirata all'ambito di applicazione del regolamento sulla cibersicurezza, che consentirebbe alla Commissione di adottare atti di esecuzione in merito ai sistemi di certificazione della cibersicurezza per i "servizi di sicurezza gestiti", oltre che per i prodotti relativi alle tecnologie dell'informazione (TIC), i servizi TIC e i processi TIC, contemplati dal regolamento sulla cibersicurezza in vigore.
La proposta introduce una definizione di "servizi di sicurezza gestiti" in linea con la definizione di "fornitori di servizi di sicurezza gestiti" contenuta nella direttiva NIS 2. Aggiunge inoltre un nuovo articolo (l'articolo 51 bis) relativo agli obiettivi di sicurezza dei sistemi europei di certificazione della cibersicurezza, adeguati ai servizi di sicurezza gestiti. La proposta contiene infine una serie di modifiche tecniche volte a garantire che le pertinenti disposizioni del regolamento sulla cibersicurezza si applichino anche ai servizi di sicurezza gestiti.
La proposta si basa sull'articolo 114 TFUE (mercato interno) in quanto mira a evitare la frammentazione del mercato interno per i servizi di sicurezza gestiti consentendo l'adozione di sistemi europei di certificazione della cibersicurezza per tali servizi.