Il 20 dicembre scorso, i rappresentanti degli Stati membri riuniti nel Consiglio dell’Unione Europea, hanno raggiunto l’accordo sul testo del regolamento sulla cybersolidarietà: a questo punto, si attende la pianificazione della trattazione in seno al Parlamento Europeo e la successiva votazione della proposta in composizione plenaria. Il testo era stato presentato il 18 aprile 2023 dalla Commissione europea, a testimonianza della crescente e continua attenzione riservata alla protezione dei dati personali e all'introduzione di regole comuni in tema di cybersicurezza. L'obiettivo è quello di circoscrivere i sempre più frequenti attacchi informatici ed adottare un piano d’azione congiunto e condiviso che fornisca risposte concrete tanto in termini di prevenzione quanto in termini di reazione delle/alle minacce.
Gli elementi principali della proposta
Analizzando puntualmente i termini della proposta, emergono chiaramente gli intenti perseguiti dal legislatore europeo. Proviamo a sintetizzarli di seguito:
- creazione di un “Security Operation Centre”, altrimenti detto “Cyberscudo europeo” composto da centri operativi di cybersicurezza nazionali (“SOC nazionali”) e transfrontalieri (“SOC transfrontalieri”). Il SOC nazionale assume un ruolo centrale nella raccolta e analisi delle informazioni sui cyberattacchi a livello nazionale. Diversamente, i SOC transfrontalieri si compongono di un numero minimo di tre SOC nazionali e cooperano continuativamente nella analisi e prevenzione di minacce cyber e nella raccolta di informazioni utili a prevenire ulteriori attacchi simili;
- previsione di un meccanismo di cybersicurezza che agisce in duplice direzione:
- preventiva: per potenziare i sistemi di sicurezza e, in particolare, quelli attinenti a settori particolarmente vulnerabili quali sanità, trasporti ed energia;
- reattiva: con l’introduzione di canali di risposta tempestiva agli incidenti informatici rivolti sia a soggetti/enti pubblici sia ai c.d. fornitori di fiducia. Parallelamente, con l’intento di favorire una più rapida risoluzione delle situazioni emergenziali, la proposta si prefigge di potenziare l’assistenza reciproca fornita dagli Stati membri;
- introduzione di un sistema di riesame dei cyberattacchi (denominato “Cybersecurity Incident Review Mechanism”) posto in capo all’Agenzia dell’Unione europea per la cybersicurezza (“ENISA”).
A seguito degli attacchi informatici sferrati nei confronti di uno o più Stati membri, l’ENISA sarà tenuta a redigere una relazione in cui, in primis, analizza le cause dell’incidente e, in secondo luogo, elabora delle raccomandazioni e precauzioni attivabili dagli Stati per prevenire cyberattacchi analoghi.
L’intervento del Consiglio dell’UE
Seppur il Consiglio abbia mantenuto l’impostazione generale della proposta avanzata dalla Commissione, ha modificato alcuni aspetti, quali: a) la terminologia adottata, in considerazione delle peculiarità normative di ogni Stato membro; b) il miglioramento della formulazione delle misure di risposta e di ripresa; c) le disposizioni relative alla sicurezza nazionale, con l’integrazione delle definizioni, per allinearle alle altre normative vigenti (ad esempio la direttiva “NIS 2”); d) il carattere volontario della partecipazione degli Stati membri ai meccanismi istituiti dalla proposta della Commissione; e) ulteriori precisazioni sul ruolo dell’ENISA.
L’accordo raggiunto consentirà alla presidenza entrante di avviare i negoziati con il Parlamento europeo sulla versione definitiva del testo di regolamento.
Avv. Rossella Bucca e Dott.ssa Alice Dal Bello