Regolamento (UE) 2025/38 del PE e del Consiglio del 19 dicembre 2024 che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi.

Giustizia pixabay justice 2755765 640

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 173, paragrafo 3, e l'articolo 322, paragrafo 1, lettera a),

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere della Corte dei conti (1),

visto il parere del Comitato economico e sociale europeo (2),

visto il parere del Comitato delle regioni (3),

deliberando secondo la procedura legislativa ordinaria (4),

considerando quanto segue:

(1)L'utilizzo delle tecnologie dell'informazione e della comunicazione e la dipendenza dalle stesse sono diventati fondamentali in tutti i settori di attività economica e della società, date l'interconnessione e l'interdipendenza crescenti delle pubbliche amministrazioni, delle imprese e dei cittadini degli Stati membri a livello transettoriale e transfrontaliero, il che ha introdotto al tempo stesso possibili vulnerabilità.

(2)L'entità, la frequenza el'impatto degli incidenti di cibersicurezza, compresi gli attacchi alle catene di approvvigionamento a fini di ciberspionaggio, di ransomware o di perturbazione, sono in crescita a livello dell'Unione e su scala mondiale. Tali incidenti rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi, In considerazione del rapido evolversi del panorama delle minacce, il rischio di possibili incidenti di cibersicurezza su vasta scala capaci di provocare perturbazioni o danni significativi a infrastrutture critiche, richiede una maggiore preparazione del quadro di cibersicurezza dell'Unione. Tale minaccia va oltre la guerra di aggressione della Russia nei confronti dell'Ucraina ed è destinata a persistere, data la molteplicità di soggetti coinvolti nelle attuali tensioni geopolitiche. Tali incidenti possono ostacolare l'erogazione di servizi pubblici, dal momento che gli attacchi informatici sono spesso diretti a infrastrutture e servizi pubblici locali, regionali o nazionali, e le autorità locali sono particolarmente vulnerabili, anche a causa delle loro risorse limitate. Possono altresì ostacolare lo svolgimento di attività economiche, anche in settori altamente critici o in altri settori critici, generare consistenti perdite finanziarie, minare la fiducia degli utenti nonché causare gravi danni alle economie e ai sistemi democratici dell'Unione, e potrebbero persino avere conseguenze sulla salute o essere potenzialmente letali. Inoltre, gli incidenti di cibersicurezza sono imprevedibili, in quanto spesso si verificano ed evolvono rapidamente, non sono circoscritti a una determinata zona geografica e si verificano simultaneamente o si diffondono istantaneamente in numerosi paesi. È importante che vi sia una stretta cooperazione tra il settore pubblico, il settore privato, il mondo accademico, la società civile e i media.

(3)Occorre rafforzare la posizione competitiva del settore industriale e di quello dei servizi dell'Unione nell'ambito dell'economia digitale e sostenerne la trasformazione digitale, consolidando il livello di cibersicurezza nel mercato unico digitale come raccomandato in tre diverse proposte della Conferenza sul futuro dell'Europa. È necessario accrescere la resilienza dei cittadini, delle imprese, comprese le microimprese, le piccole e medie imprese e le start-up, e dei soggetti che gestiscono infrastrutture critiche contro le crescenti minacce informatiche, che possono avere conseguenze devastanti a livello sociale ed economico. Occorre quindi investire in infrastrutture e servizi e creare capacità per sviluppare competenze in materia di cibersicurezza che permettano di velocizzare il rilevamento delle minacce e degli incidenti informatici e di assicurare una risposta più rapida. Inoltre, gli Stati membri necessitano di assistenza per garantire una migliore preparazione e capacità di risposta più adeguate agli incidenti di cibersicurezza significativi e agli incidenti di cibersicurezza su vasta scala, nonché di assistenza nella ripresa iniziale dagli stessi. Basandosi sulle strutture esistenti e in stretta cooperazione con le stesse, l'Unione dovrebbe inoltre accrescere le sue capacità in tali settori, in particolare per quanto riguarda la raccolta e l'analisi di dati sulle minacce e sugli incidenti informatici.

(4)L'Unione ha già adottato una serie di misure per ridurre le vulnerabilità e accrescere la resilienza delle infrastrutture e dei soggetti critici contro i rischi, in particolare il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio (5), le direttive 2013/40/UE (6) e (UE) 2022/2555 (7) del Parlamento europeo e del Consiglio e la raccomandazione (UE) 2017/1584 della Commissione (8). Inoltre, la raccomandazione del Consiglio dell'8 dicembre 2022 su un approccio coordinato a livello dell'Unione per rafforzare la resilienza delle infrastrutture critiche invita gli Stati membri ad adottare misure e a cooperare tra loro, con la Commissione e le altre autorità pubbliche competenti, nonché con i soggetti interessati, al fine di migliorare la resilienza delle infrastrutture critiche utilizzate per fornire servizi essenziali nel mercato interno.

(5)I crescenti rischi di cibersicurezza e un panorama di minacce globalmente complesso, con il chiaro rischio di rapida propagazione di incidenti da uno Stato membro all'altro e da un paese terzo all'Unione, richiedono il rafforzamento della solidarietà a livello di Unione per migliorare il rilevamento delle minacce e degli incidenti informatici, nonché la preparazione e la risposta agli stessi, come pure la ripresa dai medesimi, in particolare rafforzando le capacità delle strutture esistenti. Inoltre, le conclusioni del Consiglio del 23 maggio 2022 su una posizione dell'UE in materia di deterrenza informatica hanno invitato la Commissione a presentare una proposta su un nuovo Fondo di risposta alle emergenze di cibersicurezza.

(6)La comunicazione congiunta della Commissione e dell'alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza del 10 novembre 2022 al Parlamento europeo e al Consiglio sulla politica di ciberdifesa dell'UE ha annunciato un'iniziativa dell'UE per la cibersolidarietà con gli obiettivi di rafforzare le capacità comuni dell'UE in materia di rilevamento, conoscenza situazionale e risposta, promuovendo la mobilitazione di un'infrastruttura unionale dei centri operativi di sicurezza (Security Operation Centres — SOC), sostenere la costituzione graduale di una riserva per la cibersicurezza a livello di UE, con servizi prestati da operatori privati di fiducia, e le prove presso soggetti critici al fine di rilevare potenziali vulnerabilità basate sulle valutazioni del rischio effettuate a livello UE.

(7)Occorre rafforzare il rilevamento e la conoscenza situazionale delle minacce e degli incidenti informatici in tutta l'Unione e intensificare la solidarietà migliorando la preparazione e le capacità degli Stati membri e dell'Unione di prevenire gli incidenti di cibersicurezza significativi e gli incidenti di cibersicurezza su vasta scala e di rispondervi. Di conseguenza si dovrebbe istituire una rete paneuropea di poli informatici (il sistema europeo di allerta per la cibersicurezza) per sviluppare capacità coordinate in materia di rilevamento e conoscenza situazionale, rafforzando le capacità dell'Unione in materia di rilevamento delle minacce e di condivisione delle informazioni; si dovrebbe istituire un meccanismo per le emergenze di cibersicurezza, al fine di sostenere gli Stati membri, su loro richiesta, nella preparazione e nella risposta agli incidenti di cibersicurezza significativi e agli incidenti di cibersicurezza su vasta scala, nell'attenuarne l'effetto e nell'avviare la ripresa dagli stessi, e di sostenere altri utenti nella risposta agli incidenti di cibersicurezza significativi e agli incidenti di cibersicurezza equivalenti a incidenti su vasta scala e si dovrebbe istituire un meccanismo europeo di riesame degli incidenti di cibersicurezza per riesaminare e valutare specifici incidenti di cibersicurezza significativi o incidenti di cibersicurezza su vasta scala. Le azioni intraprese a norma del presente regolamento dovrebbero essere realizzate nel debito rispetto delle competenze degli Stati membri e dovrebbero integrare e non duplicare le attività svolte dalla rete di CSIRT, dalla rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) o dal gruppo di cooperazione (gruppo di cooperazione NIS), tutti istituiti a norma della direttiva (UE) 2022/2555. Tali azioni non pregiudicano gli articoli 107 e 108 del trattato sul funzionamento dell'Unione europea (TFUE).

(8)Per conseguire questi obiettivi occorre modificare il regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio (9) in alcuni settori. In particolare il presente regolamento dovrebbe modificare il regolamento (UE) 2021/694 aggiungendo nuovi obiettivi operativi relativi al sistema europeo di allerta per la cibersicurezza e al meccanismo per le emergenze di cibersicurezza nell'ambito dell'obiettivo specifico 3 del programma Europa digitale, che mira a garantire la resilienza, l'integrità e l'affidabilità del mercato unico digitale, a rafforzare le capacità di monitoraggio delle minacce e degli attacchi informatici e di risposta agli stessi, nonché a rafforzare la cooperazione e il coordinamento transfrontalieri in materia di cibersicurezza. Il sistema europeo di allerta per la cibersicurezza potrebbe svolgere un ruolo importante aiutando gli Stati membri ad anticipare le minacce informatiche e a proteggersi dalle stesse, e la riserva dell'UE per la cibersicurezza potrebbe svolgere un ruolo importante aiutando gli Stati membri, le istituzioni, gli organi e gli organismi dell'Unione e i paesi terzi associati al programma Europa digitale a rispondere agli incidenti di cibersicurezza significativi, agli incidenti di cibersicurezza su vasta scala e agli incidenti di cibersicurezza equivalenti a incidenti su vasta scala, e ad attenuarne l'effetto. Tale effetto potrebbe includere danni materiali o immateriali considerevoli e gravi rischi di pubblica sicurezza. Alla luce dei ruoli specifici che il sistema europeo di allerta per la cibersicurezza e la riserva dell'UE per la cibersicurezza potrebbero svolgere, il presente regolamento dovrebbe modificare il regolamento (UE) 2021/694 per quanto riguarda la partecipazione dei soggetti giuridici stabiliti nell'Unione ma controllati da paesi terzi, nel caso in cui vi sia un rischio reale che gli strumenti, le infrastrutture e i servizi necessari e sufficienti, o le tecnologie, le competenze e le capacità necessarie e sufficienti, non siano disponibili nell'Unione e i vantaggi derivanti dall'inclusione di tali soggetti siano superiori ai rischi per la sicurezza. È opportuno stabilire le condizioni specifiche in base alle quali può essere concesso il sostegno finanziario per le azioni volte ad attuare il sistema europeo di allerta per la cibersicurezza e la riserva dell'UE per la cibersicurezza e definire i meccanismi di governance e di coordinamento necessari per raggiungere gli obiettivi previsti. Altre modifiche del regolamento (UE) 2021/694 dovrebbero includere descrizioni delle azioni proposte nell'ambito dei nuovi obiettivi operativi, nonché indicatori misurabili per monitorarne l'attuazione di questi ultimi.

(9)Per rafforzare la risposta dell'Unione alle minacce e agli incidenti informatici, è essenziale la cooperazione con le istituzioni internazionali e con i partner internazionali di fiducia che condividono gli stessi principi. In tale contesto, per partner internazionali di fiducia che condividono gli stessi principi si dovrebbero intendere i paesi che condividono i principi che hanno informato la creazione dell'Unione, vale a dire la democrazia, lo Stato di diritto, l'universalità e indivisibilità dei diritti umani e delle libertà fondamentali, il rispetto della dignità umana, i principi di uguaglianza e solidarietà e il rispetto dei principi della Carta delle Nazioni Unite e del diritto internazionale, e che non pregiudicano gli interessi essenziali dell'Unione o dei suoi Stati membri in materia di sicurezza. Tale cooperazione potrebbe essere vantaggiosa anche per quanto riguarda le azioni intraprese a norma del presente regolamento, in particolare il sistema europeo di allerta per la cibersicurezza e la riserva dell'UE per la cibersicurezza. Il regolamento (UE) 2021/694 dovrebbe prevedere, a condizione che siano soddisfatte determinate condizioni di disponibilità e sicurezza, che le gare d'appalto per tali infrastrutture, strumenti e servizi potrebbero essere aperte a soggetti giuridici controllati da paesi terzi, a condizione che siano rispettati i requisiti di sicurezza. Nel valutare il rischio per la sicurezza derivante da tale apertura dell'appalto, è importante tenere conto dei principi e dei valori che l'Unione condivide con partner internazionali che condividono gli stessi principi, laddove tali principi siano connessi agli interessi essenziali dell'Unione in materia di sicurezza. Inoltre, quando tali requisiti di sicurezza sono considerati a norma del regolamento (UE) 2021/694, si potrebbe tenere conto di diversi elementi, quali la struttura societaria e il processo decisionale di un soggetto, la sicurezza dei dati e delle informazioni classificate o sensibili e la garanzia che i risultati dell'azione non siano soggetti a controlli o restrizioni da parte di paesi terzi non ammissibili.

(10)Il finanziamento delle azioni ai sensi del presente regolamento dovrebbe essere previsto dal regolamento (UE) 2021/694, che dovrebbe rimanere l'atto di base pertinente per le azioni di cui nell'obiettivo specifico 3 del programma Europa digitale. Le condizioni specifiche di partecipazione riguardanti ciascuna azione devono essere indicate nei programmi di lavoro, conformemente al regolamento (UE) 2021/694.

Per la pubblicazione integrale:

Tratto da:

Link:

EurLex

Foto:

pixabay

 

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it

Novità Legislative
Visite: 54

 

together logo en

KARMA Logo

greatbeauty

Logo Entrepreneurs Mobility

Eurodesk marchio e logo colore

areerurali

readywomen

futuroeuropa

idebate1 idebate2 idebate3

 

philoxenia

 

 

 

latuaeu
scn

 

EdicCalabria&Europa'Eurokom'

ASSOCIAZIONE EUROKOM

Sede Legale: Via Cavour 4, 89040 Gerace (RC)

Sede Operativa: Palazzo Amaduri - Gioiosa Ionica (RC)

Servizio

Europe Direct "CalabriaEuropa" Palazzo Amaduri - Piazza Cinque Martiri Gioiosa Ionica (RC)

Tel.Fax: 00 39 0964 1901574

Email: associazioneeurokom@tiscali.it

Sito realizzato con il finanziamento della Commmissione europea - Rappresentanza in Italia Rappresentanza in Italia della Commissione europea

Contatore di visite

Oggi:
577
Ieri:
17721
Settimana:
148430
Mese:
753389
Totali:
90952758
Oggi è il: 29-01-2025
Il tuo IP è: 3.144.30.14

Menu principale