Elevare il livello comune europeo di sicurezza informatica conformemente alla legislazione UE in materia di privacy e protezione dei dati: è in quest’ottica che va letto il parere favorevole con cui il Garante europeo per la protezione dei dati personali (EDPS) ha accolto la proposta di regolamento adottata lo scorso 22 marzo dalla Commissione europea.
Un regolamento che, lo ricordiamo, si pone l’obiettivo di armonizzare e rafforzare la sicurezza informatica e la sicurezza delle informazioni delle istituzioni dell’Unione stabilendo norme comuni e requisiti minimi di sicurezza allineati agli obiettivi della strategia dell’UE in materia di cyber security.
In particolare, l’EDPS ha pubblicato due distinti pareri: il primo sulla proposta di regolamento che stabilisce misure per un elevato livello comune di cybersicurezza nelle istituzioni, organi e organismi dell’UE (“proposta sulla cybersicurezza”); il secondo sulla sicurezza delle informazioni nelle istituzioni europee (“proposta sulla sicurezza delle informazioni”).
Anna Cataleta, Senior Partner di P4I – Partners4Innovation, sottolinea come le due proposte di regolamento rappresentino un importante segnale che evidenzia la sempre maggiore attenzione che viene riposta verso la cyber security e la sicurezza delle informazioni a livello europeo.
Secondo l’analista, “i numerosi attacchi informatici avvenuti, anche in funzione della delicata situazione politica che stiamo vivendo, sono stati un importante catalizzatore sul tema. Il parere dell’EDPS evidenzia un tema fondamentale, cioè l’armonizzazione non solo con le normative sulla protezione dei dati personali (per le istituzioni europee il Regolamento (EU) 2018/1725, omologo del GDPR) ma anche con le normative in tema di sicurezza delle informazioni, quali la direttiva NIS 2.
“Si auspica”, conclude Anna Cataleta, “che nel giro di poco tempo si definisca una struttura normativa sempre più completa che riesca a disciplinare in modo coerente sia la protezione dei dati personali che la cybersicurezza, due mondi strettamente connessi. Chiaramente tutto ciò non deve determinare esclusivamente una “iperproduzione normativa”, con il rischio di generare entropia proprio nella gestione e nell’armonizzazione delle disposizioni”.
Indice degli argomenti
Come conciliare cyber security e protezione dati
Nei suoi pareri l’EDPS sottolinea come tali proposte possano avere un impatto positivo sulla sicurezza dei dati personali, così come previsto anche dal Regolamento (UE) 2018/1725 relativo proprio al trattamento dati da parte delle istituzioni dell’Unione.
Il Garante europeo si dice quindi d’accordo sulla necessità di proseguire verso l’approvazione delle tanto necessarie norme armonizzate sulla cybersicurezza e sulla sicurezza delle informazioni per tutte le istituzioni europee al fine, appunto, di elevare il livello di sicurezza comune degli Stati membri.
Allo stesso tempo, l’EDPS evidenzia i rischi per la conformità alla legislazione dell’UE in materia di privacy e protezione dei dati che sono impliciti nelle misure di sicurezza previste dalle proposte. Da qui la raccomandazione a garantire che tutte le misure di sicurezza previste abbiano una base giuridica valida, siano necessarie e proporzionate.
Come si legge nel comunicato stampa dell’EDPS, per conformarsi a entrambe le proposte le istituzioni UE e il CERT-EU (che, lo ricordiamo, funge da “centro di cybersicurezza” delle istituzioni stesse), dovranno mettere in atto processi e misure che comportano un ulteriore trattamento di dati personali.
Ed è proprio avendo ben chiaro l’obiettivo di ottenere la certezza del diritto e per garantire la conformità al Regolamento (UE) 2018/1725 che l’EDPS raccomanda vivamente che entrambe le proposte forniscano una base giuridica chiara per il trattamento dei dati personali da parte di CERT-EU e delle istituzioni UE, comprese, in particolare, le finalità del trattamento e le categorie di dati personali che possono essere trattati.
Per questo motivo, il Garante europeo ritiene che la proposta sulla cybersicurezza, in particolare, debba essere migliorata per allinearsi alle norme sostanziali della direttiva NIS 2, in modo da ottenere norme coerenti e omogenee per gli Stati membri dell’UE e le istituzioni UE, contribuendo così al livello generale di cybersicurezza dell’Unione.
Direttiva NIS 2, gli sviluppi attuali e gli scenari futuri: il punto
Verso un livello di sicurezza comune europeo
D’altronde, analizzando le proposte della Commissione europea risulta evidente come entrambe siano profondamente interconnesse con la proposta NIS 2 che mira proprio ad armonizzare e rafforzare le pratiche di sicurezza informatica in tutta l’Unione europea e per la quale il Garante europeo ha emesso un altro parere specifico.
A tal proposito, Wojciech Wiewiórowski ha dichiarato: “Con la direttiva NIS 2 appena approvata dai colegislatori la scorsa settimana, la Commissione europea ha fatto un ulteriore passo avanti proponendo tempestivamente norme corrispondenti per le istituzioni UE. Questi saranno i primi atti giuridici dedicati esclusivamente alla regolamentazione della sicurezza dei dati nelle istituzioni UE, compreso l’EDPS. Non c’è protezione dei dati personali senza una gestione efficace dei rischi e delle misure di sicurezza. Allo stesso tempo, è essenziale proteggere i dati personali trattati nell’ambito della sicurezza delle informazioni e della sicurezza informatica. Ritengo che i testi forniscano una buona base, ma che possano essere migliorati con maggiori garanzie per i diritti e le libertà delle persone quando i loro dati sono trattati in operazioni di sicurezza”.
In tal senso, l’EDPS si compiace del nuovo ruolo dell’ex “Computer Emergency Response Team”, ora denominato “Cybersecurity Centre” (CERT-UE), che tiene conto della digitalizzazione sempre più diffusa, della rapida evoluzione del panorama delle cyber minacce e del recente ulteriore impulso alla digital transformation dovuto anche alla pandemia da Covid-19.
In realtà, il Garante europeo auspica un maggiore allineamento tra le proposte di regolamento della Commissione Europea e le Direttive NIS e NIS 2 in modo da ottenere norme coerenti e omogenee per gli Stati membri e le istituzioni UE, contribuendo al livello generale di cybersicurezza dell’Unione.
In particolare, il Garante europeo raccomanda di aggiungere nella proposta di regolamento che i requisiti minimi di sicurezza siano almeno pari o superiori ai requisiti minimi di sicurezza dei soggetti interessati dalla Direttiva NIS 2.
Sviluppare la strategia UE in materia di sicurezza informatica
Un’armonizzazione normativa che può contribuire sostanzialmente al raggiungimento di un elevato livello generale di cybersicurezza dell’Unione. Un ulteriore passo verso una necessaria integrazione della prospettiva della privacy e della protezione dei dati nella gestione della cybersicurezza e della sicurezza delle informazioni, al fine di ottenere sinergie positive, così come era stato già anticipato dallo stesso Garante europeo nel suo parere sulla NIS 2.
A tal proposito, lo stesso Garante fornisce raccomandazioni specifiche su come tali sinergie possano essere realizzate e adottate durante l’iter approvativo delle proposte fatte dalla Commissione UE. Tra queste, è importante segnalare:
- l’obbligo specifico per i funzionari dell’UE responsabili della sicurezza informatica e della sicurezza delle informazioni di cooperare strettamente con i responsabili della protezione dei dati;
- l’integrazione della gestione del rischio di sicurezza con la sicurezza dei dati personali;
- l’integrazione delle procedure di gestione degli incidenti di sicurezza e delle violazioni dei dati.
Per questo è auspicabile che nella proposta di regolamento della Commissione Europea venga data la giusta importanza alla partecipazione del Garante europeo per la protezione dei dati personali al Comitato interistituzionale per la cybersicurezza (Interinstitutional Cybersecurity Board, IICB), prevedendo una stretta collaborazione tra il CERT-EU e lo stesso EDPS.
