Ricorderemo tutti che prima di Natale scorso, il Parlamento europeo e il Consiglio, hanno approvato il 19 dicembre 2024, il Cyber Solidarity Act, la cd legge sulla cyber solidarietà, vale a dire del nuovo “scudo digitale” per la UE volto a stabilire le misure che rafforzino la solidarietà e le capacità dell’Unione a rilevare minacce e incidenti informatici in preparazione e risposta degli stessi.
Il nuovo Regolamento (UE) 2025/38 è stato ora pubblicato in Gazzetta Ufficiale europea. Un ulteriore passo per aumentare la solidarietà e la capacità della UE nel proteggere cittadini, imprese e infrastrutture critiche dalle crescenti minacce informatiche.
Indice degli argomenti
Il Cyber Solidarity Act nei suoi punti di forza
Il Cyber Solidarity Act mira essenzialmente a rafforzare la “resilienza informatica” degli Stati membri, contribuendo alla sovranità tecnologica e all’autonomia strategica della UE in ambito cyber security.
PA: Guida pratica alla transizione al cloud per i servizi SaaS
Non solo: mira anche a cementificare la posizione competitiva del settore industriale e dei servizi della UE nell’economia digitale, potenziando da un lato l’innovazione nel mercato unico digitale, e dall’altro sviluppando in modo robusto le competenze di settore, visto l’attuale momento storico di guerre anche cibernetiche in atto.
Per completezza, il Regolamento in parola modifica anche il Reg. (UE) 2021/694 cd. “Programma Europa Digitale”, aggiungendo nuovi obiettivi operativi relativi al sistema di allerta e al meccanismo per le emergenze.
I punti chiave del regolamento
Tra i punti chiave del Cyber Solidarity Act si annoverano:
- un “sistema europeo di allerta per la cyber security” (art. 3) tra l’istituzione di “poli informatici nazionali e transfrontalieri” al fine di sviluppare coordinate capacità di rilevamento e “conoscenza situazionale” comune (artt. 4 e 5). Si tratta di poli pensati per facilitare la condivisione di informazioni circa le minacce informatiche tra soggetti pubblici e privati;
- un “meccanismo per le emergenze di cibersicurezza” (Capo III) quale mezzo a sostegno delle situazioni emergenziali critiche, contemplando delle verifiche coordinate insite nella preparazione dei soggetti operanti in quei settori ad alta criticità;
- un “meccanismo di riesame degli incidenti” (art. 21) quale processo guidato da ENISA al fine di riesaminare e valutare gli “incidenti significativi”, sì di trarre insegnamenti utili in modo tale da prevenire o attenuare episodi analoghi in futuro.
Non meno importanti sono altre azioni di preparazione per vari settori come la “riserva” della UE per la cibersicurezza da intendersi come un pool di servizi forniti dai fornitori di fiducia di servizi di sicurezza gestiti idonei a supportare la risposta e la resilienza dagli incidenti cd significativi.
Prende forma lo scudo digitale europeo
Il Cyber Solidarity Act del 19 dicembre 2024 si compone di 61 Consideranda e 26 articoli, tutti volti a migliorare la preparazione, l’individuazione e la risposta agli incidenti di cibersicurezza in tutta l’Unione europea.
Non a caso, è considerata la legge sulla cibersolidarietà ed è entrata in vigore lo scorso 4 febbraio 2025, con l’obiettivo di rafforzare le capacità europee in materia in materia di cibersicurezza.
Di qui la ratio di prevedere un “sistema europeo di allarme per la cibersicurezza, costituito da centri operativi per la sicurezza interconnessi in tutta l’UE, e un meccanismo globale per le emergenze di cibersicurezza” volto a migliorare la cyber resilience della UE.
Cyber Solidarity Act: qualche numero sul fronte finanziario
Il Regolamento sulla cibersolidarietà rappresenta una bella e ambiziosa sfida nel panorama europeo, tutta intenta a creare un sistema “unito”che innalzi il livello di allarme sulla cibersicurezza finalizzato a migliorare l’individuazione, l’analisi e la risposta alle minacce informatiche di esponenziale crescita.
Per realizzare tutto ciò, il legislatore sovranazionale ha ben pensato di istituire centri operativi di sicurezza (SOC) nazionali e transfrontalieri in tutta la UE, grazie all’uso di tecnologie avanzate come l’intelligenza artificiale (AI) e l’analisi dei dati per rilevare e condividere avvisi sulle minacce con le Autorità a livello transfrontaliero.
Sul fronte finanziario, detto Scudo unitamente al meccanismo per le emergenze di cibersicurezza vengono sostenuti da finanziamenti nell’ambito dell’obiettivo strategico “Cibersicurezza” del programma Europa digitale (DIGITAL).
A tal riguardo, il bilancio totale prevede un aumento di 100 milioni di euro, così da portare il nuovo importo totale disponibile per le azioni di cibersicurezza nell’ambito di DIGITAL a 842,8 milioni di euro.
I finanziamenti supplementari inoltre sono concepiti per sostenere “l’istituzione della riserva dell’UE per la cibersicurezza” (art. 14).
Quest’ultima va intesa a integrazione del bilancio già previsto per analoghe azioni nel programma di lavoro DIGITALE e sulla cibersicurezza per il periodo 2023-2027, che porterà il totale a 551 milioni di euro per il periodo 2023-2027, mentre 115 milioni di euro risultano già stanziati sotto forma di progetti pilota negli anni 2021-2022. Dunque, compresi i contributi degli Stati membri, il bilancio complessivo potrebbe ammontare fino a 1,109 miliardi di euro.
Meccanismo per le emergenze informatiche
Il meccanismo per le emergenze di cibersicurezza intende garantire il miglioramento della preparazione e della risposta agli incidenti di cibersicurezza, agendo in tre modi:
- sostenendo le azioni di preparazione grazie a una operazione che testi i soggetti nei settori cruciali (finanza, energia, assistenza sanitaria) nella ricerca di potenziali debolezze tali da rendere gli stessi – settori – vulnerabili alle minacce informatiche;
- creando reazione di una riserva dell’UE per la cibersicurezza, in altri termini la riserva dell’UE per la cibersicurezza consisterà in servizi di risposta agli incidenti forniti da fornitori di servizi privati (“fornitori fiduciari”), i quali potranno essere mobilitati su richiesta degli Stati membri/istituzioni/organi/agenzie della UE onde poterli aiutare ad affrontare “incidenti di cibersicurezza significativi” o “su vasta scala” rimandiamo alle definizioni (art.2) nonché alla Direttiva NIS2;
- garantendo l’assistenza reciproca grazie al meccanismo citato gli Stati membri possono offrirsi reciproca assistenza in caso di incidente di cibersicurezza.
Meccanismo di riesame degli incidenti cyber
Il Regolamento sulla cibersolidarietà istituisce altresì il meccanismo di riesame degli incidenti di cibersicurezza (art. 21) per valutare e riesaminare specifici incidenti di cibersicurezza.
Ciò deve avvenire su richiesta della Commissione o delle autorità nazionali (come EU-CyCLONe o la rete di CSIRT).
È l’Agenzia dell’UE per la cibersicurezza, meglio nota come ENISA, a occuparsi di questo riesame, presentando al termine dell’analisi una relazione che includa gli insegnamenti tratti e, se del caso, delle “raccomandazioni” al fine di migliorare la risposta informatica della UE.
Cyber Solidarity Act: verso una maggiore consapevolezza
Sul fronte cyber dunque la UE, anche grazie a questo Regolamento che ha non pochi impatti operativi, si dirige a passo svelto verso maggiori consapevolezze e capacità in campo di cyber security; e concludiamo riportando la dichiarazione che il Commissario Thierry Breton – responsabile del Mercato interno rilasciò il 14 aprile 2023, quando la legge in parola era ancora in embrione “uno scudo informatico europeo. Per rilevare, rispondere e riprendersi efficacemente da minacce alla sicurezza informatica su larga scala, è fondamentale investire in modo sostanziale e urgente nelle capacità di sicurezza informatica”.
Tant’è che, a distanza di un paio di anni, il Cyber Solidarity Act è una pietra miliare fondamentale nel percorso europeo verso il raggiungimento di questo, per quanto ambizioso, obiettivo.
Scopri le strategie e gli investimenti che stanno trasformando il volto della Sicilia
