Regolamento sulla cibersicurezza dell’Unione

PUNTI CHIAVE

Il mandato di ENISA prevede quanto segue:

• conseguire un elevato livello comune di cibersicurezza in tutta l’Unione;
• sostenere le istituzioni, gli organi, gli uffici e le agenzie dell’Unione nel miglioramento della cibersicurezza;
• fungere da punto di riferimento per pareri e competenze tecnico-scientifiche in materia di cibersicurezza per le istituzioni, gli organi, gli uffici e le agenzie dell’Unione nonché per altre parti interessate;
• contribuire a ridurre la frammentazione del mercato interno;
• agire in maniera indipendente, evitando la duplicazione delle attività paesi dell’Unione e tenendo conto delle competenze esistenti a livello nazionale;
• sviluppare le proprie risorse, incluse le capacità e abilità tecniche e umane.

I compiti dell’ENISA sono:

• sostenere l’elaborazione e l’attuazione delle politiche e delle leggi dell’Unione;
• promuovere lo sviluppo delle capacità, ad esempio migliorando la prevenzione, l’individuazione e l’analisi alle minacce informatiche¹ e la reazione alle stesse e sostenendo lo sviluppo di gruppi nazionali di intervento per la sicurezza informatica in caso di incidente (CSIRT), o attraverso l’organizzazione di esercitazioni periodiche di cibersicurezza a livello dell’Unione;
• sostenere la cooperazione operativa tra tutti gli attori coinvolti, compreso il servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell’Unione (CERT-UE), in particolare scambiando conoscenze e migliori pratiche, fornendo consulenza e orientamenti e assistendo l’Unione e le reti dei CSIRT nazionali;
• sostenere e promuovere lo sviluppo e l’attuazione della politica dell’Unione in materia di certificazione della cibersicurezza dei prodotti TIC, dei servizi TIC, dei processi TIC e dei servizi di sicurezza gestiti, come stabilito dal quadro europeo di certificazione della cibersicurezza;
• raccogliere e analizzare le conoscenze e le informazioni sulla cibersicurezza e in particolare sulle tecnologie emergenti, le minacce informatiche e gli incidenti, per fornire informazioni e consulenze alle autorità nazionali, alle parti interessate e, tramite un portale dedicato, al pubblico (cittadini, organizzazioni e imprese);
• sensibilizzare l’opinione pubblica sui rischi connessi alla cibersicurezza, fornire orientamenti in materia di buone pratiche per i singoli utenti e promuovere la consapevolezza sulla cibersicurezza e l’alfabetizzazione informatica in generale;
• fornire consulenza sulle esigenze e le priorità e contribuire all’agenda strategica di ricerca e innovazione a livello dell’Unione nel campo della cibersicurezza;
• contribuire all’impegno dell’Unione nella cooperazione sulla cibersicurezza con i partner e le organizzazioni internazionali.

ENISA ha la seguente struttura amministrativa e di gestione.

• Il consiglio di amministrazione, che comprende un rappresentante di ciascuno Stato membro dell’Unione e due membri nominati dalla Commissione europea, il quale stabilisce gli orientamenti generali delle attività dell’agenzia e assicura che operi nelle condizioni che le consentono di servire secondo i principi stabiliti dal regolamento.
• Il comitato esecutivo composto da cinque membri, che prepara le decisioni che dovranno essere adottate dal consiglio di amministrazione.
• Un direttore esecutivo indipendente, che risponde al consiglio di amministrazione e riferisce al Parlamento europeo e al Consiglio dell’Unione europea su richiesta, il quale è responsabile della gestione dell’agenzia.
• Il gruppo consultivo di ENISA, composto da esperti riconosciuti che rappresentano i pertinenti portatori di interessi, quali il settore delle TIC, i fornitori delle reti o dei servizi di comunicazione elettronica, le piccole e medie imprese, i consumatori, gli accademici, gli operatori di servizi essenziali, e i rappresentanti delle autorità competenti notificati in conformità con il codice europeo delle comunicazioni elettroniche, delle organizzazioni europee di normazione nonché delle autorità di contrasto e delle autorità di controllo preposte alla protezione dei dati, che si occupa delle questioni pertinenti per i portatori di interesse e le porta all’attenzione di ENISA.
• La rete di funzionari nazionali di collegamento, composta da rappresentanti di tutti gli Stati membri, che agevola lo scambio di informazioni tra ENISA e gli Stati membri e sostiene ENISA nella diffusione delle attività, dei risultati e delle raccomandazioni che la riguardano.

Il regolamento istituisce quanto segue.

• Un gruppo di portatori di interessi per la certificazione della cibersicurezza, composto da esperti riconosciuti che, tra l’altro, fornisce consulenza alla Commissione sulle questioni strategiche riguardanti il quadro europeo di certificazione della cibersicurezza e, su richiesta, a ENISA per questioni generali e strategiche concernenti i compiti pertinenti della stessa.
• Un gruppo europeo per la certificazione della cibersicurezza (ECCG) composto da rappresentanti che coadiuvano la Commissione nelle sue attività volte a garantire un’attuazione e un’applicazione coerenti del regolamento, ed ENISA in relazione alla preparazione di una proposta di sistema di certificazione della cibersicurezza.

ENISA:

• è istituita per un periodo indeterminato a decorrere dal 27 giugno 2019;
• opera in conformità con un documento unico di programmazione contenente la programmazione annuale e pluriennale;
• applica le norme di sicurezza della Commissione per la protezione delle informazioni sensibili non classificate e delle informazioni classificate dell’Unione;
• non rivela a terzi le informazioni riservate da essa trattate o ricevute;
• partecipa attivamente alle misure dell’Unione per la lotta contro la frode, la corruzione e altre attività illecite;
• tratta i dati personali in conformità con le rispettive regole dell’Unione.

Il regolamento istituisce un quadro europeo di certificazione della cibersicurezza al fine di:

• migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC, i processi TIC e i servizi di sicurezza gestiti;
• prevedere un meccanismo volto a istituire sistemi europei di certificazione della cibersicurezza e ad attestare che i prodotti TIC, i servizi TIC, i processi TIC e i servizi di sicurezza gestiti valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita.

In base al quadro:

• la Commissione:
  • pubblica un programma di lavoro progressivo dell’Unione per la certificazione europea della cibersicurezza in cui sono individuate le priorità strategiche e i prodotti TIC, i servizi TIC, i processi TIC e i servizi di sicurezza gestiti o categorie che possono beneficiare del sistema;
  • può richiedere all’ENISA di preparare una proposta di sistema di certificazione o di rivedere un sistema esistente;
• ENISA:
  • prepara proposte di sistema adeguate, a seguito di una richiesta della Commissione o del gruppo europeo per la certificazione della cibersicurezza;
  • ogni cinque anni valuta ogni sistema europeo di certificazione della cibersicurezza adottato, tenendo conto del riscontro ricevuto dalle parti interessate;
  • mantiene un apposito sito web che fornisce informazioni sui sistemi, sui certificati e sulle dichiarazioni di conformità.

I sistemi europei di certificazione volontaria della cibersicurezza:

• mirano a conseguire vari obiettivi di sicurezza, tra i quali proteggere i dati conservati, trasmessi o trattati;
• specificano il livello di affidabilità per i prodotti TIC, i servizi TIC, i processi TIC e i servizi di sicurezza gestiti come «di base», «sostanziale» o «elevato»;
• consentono ai fabbricanti e ai fornitori di prodotti TIC, servizi TIC, processi TIC e servizi di sicurezza gestiti a basso rischio (ad esempio prodotti, servizi o processi TIC «di base») di valutarli loro stessi («autovalutazione della conformità»);
• devono comprendere alcuni elementi, quali una chiara descrizione dello scopo, dell’oggetto, dell’ambito di applicazione, dei criteri di valutazione e dei metodi utilizzati;
• sostituiscono sistemi nazionali simili, pur mantenendo validi quei certificati fino alla loro scadenza.

I fabbricanti e i fornitori di prodotti TIC, servizi TIC, processi TIC e servizi di sicurezza gestiti devono rendere pubblicamente disponibili:

• orientamenti e raccomandazioni che assistano gli utenti finali nell’installare, operare e mantenere in modo sicuro i loro prodotti o servizi;
• informazioni sulla durata dell’assistenza di sicurezza;
• le informazioni di contatto;
• un riferimento ad archivi online contenenti informazioni sulle problematiche note relative ai loro prodotti o servizi.

Gli Stati membri designano una o più autorità nazionali di certificazione della cibersicurezza che dispongano di risorse adeguate per l’esercizio dei loro poteri e per supervisionare e far applicare le regole previste nei sistemi europei di certificazione della cibersicurezza.

La Commissione:

• valuta periodicamente l’efficacia e l’utilizzo dei sistemi europei di certificazione adottati e l’eventuale necessità di rendere obbligatorio uno specifico sistema;
• completa la prima valutazione dettagliata entro il 31 dicembre 2023 e le successive valutazioni sono effettuate almeno ogni due anni;
• entro il 28 giugno 2024, e successivamente ogni cinque anni, valuta l’impatto, l’efficacia e l’efficienza di ENISA.

Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo all’emittente di un certificato europeo di cibersicurezza e a ricercare un ricorso giurisdizionale effettivo.

Modifica: servizi di sicurezza gestiti

Nel dicembre del 2024 è stato adottato il regolamento (UE) 2025/37, che modifica il regolamento per quanto riguarda i servizi di sicurezza gestiti. Questa modifica mirata introduce la definizione di servizi di sicurezza gestiti ed estende l’ambito di applicazione del quadro europeo di certificazione della cibersicurezza includendo i servizi di sicurezza gestiti. Pertanto, estende il mandato e i compiti di ENISA per quanto riguarda i servizi di sicurezza gestiti.

Il regolamento (UE) 2025/37 è stato pubblicato nella Gazzetta ufficiale il 15 gennaio 2025 ed è in vigore dal 4 febbraio 2025.

Notifiche degli organismi di valutazione della conformità

Nel dicembre del 2024, la Commissione ha adottato il regolamento di esecuzione (UE) 2024/3143 per le notifiche a norma dell’articolo 61, paragrafo 5, del regolamento sulla cibersicurezza. L’atto di esecuzione stabilisce le circostanze, le formalità e le procedure per le notifiche degli organismi di valutazione della conformità nei sistemi europei di certificazione della cibersicurezza attraverso il sistema di informazione NANDO (new approach notified and designated organisations). Esso chiarisce inoltre le circostanze in cui si dovrebbero apportare modifiche alla notifica e sulla base delle quali la competenza degli organismi di valutazione della conformità notificati potrebbe essere impugnata.

Il regolamento di esecuzione (UE) 2024/3143 è stato pubblicato nella Gazzetta ufficiale il 19 dicembre 2024 ed è in vigore dall’8 gennaio 2025.

Sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)

Nel gennaio del 2024, la Commissione ha adottato il regolamento di esecuzione (UE) 2024/482 (si veda la sintesi). Questo atto stabilisce le norme per l’applicazione del regolamento (UE) 2019/881 per quanto riguarda l’adozione del sistema europeo volontario di certificazione della cibersicurezza basato sui criteri comuni (EUCC). Si tratta del primo sistema a livello dell’Unione e riguarda i certificati ai livelli di garanzia «elevati» o «sostanziali» per i prodotti TIC, come hardware e software, compresi componenti quali chip e smart card. Il regolamento include norme dettagliate su aspetti quali:

• norme e requisiti per la valutazione, il rilascio, il rinnovo e la revoca dei certificati EUCC per i prodotti e i profili di protezione;
• organismi di valutazione della conformità accreditati per il rilascio di certificati o per lo svolgimento di attività di valutazione;
• monitoraggio della conformità, non conformità e inadempienza;
• procedure di gestione e divulgazione delle vulnerabilità;
• conservazione dei registri, divulgazione e protezione delle informazioni;
• accordi di mutuo riconoscimento con Paesi non appartenenti all’Unione;
• valutazione tra pari degli organismi di certificazione;
• manutenzione del sistema;
• sistemi nazionali di certificazione della cibersicurezza coperti dall’EUCC.

Il regolamento di esecuzione EUCC è in vigore dal 27 febbraio 2025.

Il regolamento (UE) 2019/881 e il relativo regolamento di esecuzione non incidono sulle responsabilità degli Stati membri in materia di pubblica sicurezza, difesa, sicurezza nazionale o diritto penale.

Il regolamento abroga il regolamento (UE) n. 526/2013 a partire dal 27 giugno 2019.