Dopo l’approvazione del Parlamento dell’UE il 19 dicembre 2024, è stato recentemente pubblicato sulla Gazzetta Ufficiale dell’Unione Europea, in data 13 marzo 2025, il Regolamento (UE) 2025/38 (noto come “Cyber Solidarity Act”) che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi.
La prossima entrata in vigore del Cyber Solidarity Act rappresenta un aggiornamento significativo al precedente Regolamento (UE) 2021/694, che aveva istituito il “Programma Europa Digitale”, introducendo nuovi obiettivi e meccanismi di emergenza al fine di rafforzare la sicurezza informatica a livello UE. Il Regolamento mira, nella medesima direzione, a rafforzare la capacità di rilevamento e la conoscenza situazionale delle minacce e degli incidenti informatici in tutta l’Unione e intensificare la solidarietà migliorando la preparazione e le capacità degli Stati membri e dell’Unione di prevenire gli incidenti di cibersicurezza significativi e gli incidenti di cibersicurezza su vasta scala e di rispondervi.
A tal fine, il Cyber Solidarity Act istituisce un sistema europeo di allerta per la cibersicurezza, ossia una rete paneuropea di infrastrutture costituita da poli informatici nazionali e poli informatici transfrontalieri che aderiscono su base volontaria. Aderendo a tale sistema, gli Stati Membri hanno la possibilità di sviluppare coordinate capacità di rilevamento e “conoscenza situazionale” comune, attraverso lo scambio di informazioni rilevanti circa le minacce informatiche tra soggetti pubblici e privati.
Il Regolamento si occupa poi (artt. 10 e ss) del meccanismo per le emergenze di cybersicurezza, che mira a preparare i soggetti che operano in settori ad alta criticità, garantendo una preparazione ed una risposta più rapida agli incidenti. In ultimo (artt. 21 e ss), viene regolato il cd. “meccanismo per il riesame degli incidenti” di cui è incaricata l’Agenzia dell'Unione europea per la cibersicurezza (cd. “ENISA”). Tali articoli prevedono che, su richiesta della Commissione o dell'European cyber crisis liaison organisation network (cd. “EU-CyCLONe”, la rete istituita dalla Direttiva NIS2), l’ENISA dovrà riesaminare le minacce informatiche, le vulnerabilità sfruttabili note e le azioni di attenuazione in relazione a uno specifico incidente di cibersicurezza significativo o incidente di cibersicurezza su vasta scala e presentare una relazione con insegnamenti e raccomandazioni che permetteranno una migliore riposta informatica a livello di UE.
In conclusione, il Cyber Solidarity Act rappresenta il completamento e naturale prosecuzione dell’azione di rafforzamento della cybersicurezza nell’UE, che fa seguito in particolare al Regolamento (UE) 2019/881 (cd. “Regolamento sulla cibersicurezza”) e la Direttiva (UE) 2022/2555 (cd. “NIS2”). Come anticipato, il primo passo era già stato fatto con il Regolamento (UE) 2021/694, cui il Cyber Solidarity Act aggiunge nuovi obiettivi operativi relativi al sistema europeo di allerta per la cibersicurezza e al meccanismo per le emergenze di cibersicurezza con il fine di rafforzare la cooperazione e il coordinamento transfrontalieri in tale materia.
Avv. Lorenzo Baudino Bessone e Dott.ssa Lucrezia Uva
