Relatore:	Dumitru FORNEA
Correlatore:	Alberto MAZZOLA

Consultazione	Parlamento europeo, 1.6.2023
	Consiglio dell’Unione europea, 7.6.2023
Base giuridica	Articolo 114, articolo 173, paragrafo 3, e articolo 304 del trattato sul funzionamento dell’Unione europea
Organo competente	Commissione consultiva per le trasformazioni industriali
Adozione in sessione plenaria	13/07/2023
Sessione plenaria n.	580
Esito della votazione (favorevoli/contrari/astenuti)	174/0/1

1.   Conclusioni e raccomandazioni

1.1.

Il Comitato economico e sociale europeo (CESE) accoglie con favore la proposta di regolamento della Commissione europea (1) e ritiene che il coordinamento dell’UE sia fondamentale per affrontare il problema dell’attuale frammentazione del mercato e rafforzare la cooperazione tra le parti interessate dell’Unione, sia del settore pubblico che di quello privato, al fine di migliorare la prevenzione, il rilevamento e la risposta alle minacce informatiche. Il CESE raccomanda che la proposta in esame consideri con maggiore attenzione la questione del rispetto dei principi di sussidiarietà e proporzionalità, conformemente all’articolo 4, paragrafo 2, del trattato sull’Unione europea (TUE).

1.2.

Il Comitato prende atto degli sforzi compiuti dalla Commissione nel settore della cibersicurezza e sottolinea che la risposta globale da fornire in caso di incidenti informatici dovrebbe comprendere non solo le capacità e i processi, ma anche elementi di hardware e software. Tuttavia, il CESE è contrario al conferimento delle numerose competenze di esecuzione proposte dal regolamento in esame, in particolare dal momento che la cibersicurezza rimane una prerogativa degli Stati membri.

1.3.

Occorre una strategia a medio termine per conseguire l’autonomia strategica nelle tecnologie fondamentali e nei settori critici, fornendo sostegno alle imprese con sede nell’UE per lo sviluppo di strutture di ricerca e produzione. Il CESE insiste sull’importanza fondamentale di acquistare solo tecnologie basate nell’UE per dotare di tecnologie di punta i centri operativi di sicurezza (Security Operations Centres — SOC) nazionali (o «SOC nazionali»).

1.4.

Il CESE esprime preoccupazione poiché non è stato adottato alcun sistema di cibersicurezza e nessun prodotto ha ancora ricevuto una certificazione informatica a quattro anni dall’adozione del regolamento dell’UE sulla cibersicurezza (2). Il Comitato raccomanda di coinvolgere le agenzie settoriali dell’UE (3) nell’elaborazione dei sistemi di cibersicurezza e di adottare una norma minima europea, in collaborazione con il CEN (Comitato europeo di normazione), il Cenelec (Comitato europeo di normazione elettrotecnica) e l’ETSI (Istituto europeo delle norme di telecomunicazione), anche per i dispositivi dell’«Internet delle persone» (Internet of People — IoP) e per l’«Internet delle cose» (Internet of Things — IoT).

1.5.

Il CESE prende atto del ruolo rafforzato proposto per l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e chiede che vengano assegnati all’Agenzia personale ad hoc e un’adeguata dotazione di bilancio per tutte le attività supplementari che dovrà realizzare, per consentirle di ricoprire l’importante ruolo strategico che le spetta in conformità con le ambizioni dell’UE nel settore della cibersicurezza.

1.6.

Gli Stati membri dovrebbero raggiungere un consenso sull’adozione di un approccio globale alla cibersicurezza che preveda personale qualificato, procedure applicate in maniera coerente e tecnologie di punta adeguate, con una particolare attenzione a migliorare e rafforzare la cooperazione con il settore privato. Collegamenti solidi e una cooperazione tra il settore della difesa e il settore privato sono aspetti di vitale importanza.

1.7.

Le specifiche tecniche della futura infrastruttura informatica dovrebbero consentire un’interoperabilità senza soluzione di continuità tra i sistemi nazionali e il ciberscudo europeo. I SOC nazionali devono inoltre avere la preparazione necessaria per effettuare prove di stress a livello nazionale sulle infrastrutture critiche, i cui risultati dovranno essere condivisi nell’ambito del ciberscudo europeo.

1.8.

Il Comitato propone che la durata del mandato del SOC coordinatore di ciascun consorzio sia di un anno, nell’ambito di un sistema comune di rotazione di tale ruolo di coordinamento. Il contributo finanziario dell’UE a favore del consorzio ospitante dovrebbe coprire il 100 % dei costi di acquisizione degli strumenti e delle infrastrutture e il 50 % dei costi operativi (invece delle quote fino, rispettivamente, al 75 % e al 50 % previste dalla proposta in esame).

1.9.

Poiché negli ultimi anni le carenze di competenze in materia di cibersicurezza sono aumentate, il Comitato accoglie con favore l’iniziativa di istituire un’Accademia per le competenze in materia di cibersicurezza e ritiene necessario introdurre degli indicatori che misurino i progressi compiuti nel colmare le lacune di competenze in questo settore.

1.10.

Il CESE osserva che la Commissione europea non ha fornito una stima precisa dei costi relativi ai programmi, alle tecnologie di analisi dei dati e ai progetti di sviluppo delle infrastrutture che si renderanno necessari. Ritiene inadeguate le fonti di finanziamento proposte a livello dell’UE ed esorta a esplorare anche altre fonti, compresa la messa in comune di risorse finanziarie private.

1.11.

La procedura presentata nella proposta per chiedere il sostegno della riserva dell’UE per la cibersicurezza appare assai lenta e non indica scadenze precise per fornire una risposta a tali richieste. Il Comitato sottolinea che la risposta da dare in caso di incidente informatico deve essere estremamente rapida.

1.12.

Il CESE chiede alla Commissione europea di fornire maggiori chiarimenti sulla definizione di «quantità significativa di dati «di cui all’articolo 6, paragrafo 2, lettera a), del regolamento in esame e di precisare quali siano gli «obiettivi» di cui alla lettera c) del medesimo articolo 6.

1.13.

Secondo il Comitato, è di vitale importanza che l’UE partecipi a dibattiti globali sulla definizione di una strategia internazionale in materia di cibersicurezza. È fondamentale svolgere indagini tempestive sugli attacchi informatici e fare in modo che gli autori di queste azioni rispondano dei loro reati, anche ricorrendo ai canali diplomatici qualora i criminali informatici si trovino in paesi terzi.

1.14.

Il CESE esprime il proprio disappunto per il fatto che il documento in esame non faccia riferimento neppure una volta alle parti sociali e alle organizzazioni della società civile e sottolinea che per realizzare una cooperazione rafforzata tra enti pubblici e privati è necessario il pieno coinvolgimento della società civile organizzata dell’UE.

1.15.

Il Comitato propone che la relazione da inviare al Parlamento europeo e al Consiglio sia presentata due anni dopo l’entrata in vigore del regolamento (e non dopo quattro, come proposto dalla Commissione), unitamente alla valutazione d’impatto che avrebbe dovuto accompagnare la proposta di regolamento in esame. Il CESE insiste sulla necessità di attuare sia specifiche misure di risultato incentrate sul conseguimento di risultati che indicatori chiave di prestazione (ICP) per valutare questi risultati.

2.   Osservazioni preliminari

2.1.

Il continuo cambiamento, l’anonimato e l’assenza di confini nel ciberspazio comportano sia opportunità che rischi per il funzionamento della società dell’informazione a livello individuale, statale e transnazionale.

2.2.

Date le evidenti possibilità di una rapida propagazione degli incidenti informatici da uno Stato membro all’altro, l’UE si trova ad affrontare crescenti rischi di cibersicurezza e un panorama di minacce assai complesso. Il coordinamento a livello dell’UE è essenziale per superare l’attuale frammentazione e promuovere una cooperazione rafforzata tra gli Stati membri.

2.3.

Il mercato unico dell’UE ha bisogno di un’interpretazione e di un’attuazione uniformi delle norme in materia di cibersicurezza, anche se per settori diversi dovrebbero essere adottati approcci diversi per via delle loro differenti modalità di funzionamento.

2.4.

Per fornire una risposta celere ed efficiente a qualsiasi incidente di cibersicurezza, è fondamentale disporre di un sistema rapido per lo scambio di informazioni tra tutte le parti interessate rilevanti a livello nazionale e dell’UE; questo, a sua volta, richiede una chiara comprensione dei ruoli e delle responsabilità che spettano a ciascuna delle parti in causa.

2.5.

Il CESE prende atto degli sforzi compiuti dalla Commissione europea nel settore della cibersicurezza e valuta positivamente l’elevato numero di comunicazioni e proposte incentrate sulla creazione di un quadro dell’UE rafforzato, su una cooperazione potenziata, sulla resilienza e sullo sviluppo di una deterrenza informatica. L’Europa ha bisogno di una tecnologia informatica all’avanguardia, con un collegamento forte tra il settore della difesa e il settore privato, al fine di mobilitare i bilanci per la difesa e di realizzare prodotti informatici per uso sia militare che civile. Il Comitato sottolinea che la risposta che occorre fornire in caso di incidenti informatici deve riguardare non solo le capacità e i processi, ma anche gli aspetti di hardware e software.

2.6.

La proposta di regolamento in esame attua inoltre la strategia dell’UE in materia di cibersicurezza adottata nel dicembre 2020, che annunciava la creazione di un ciberscudo europeo volto a rafforzare le capacità di rilevamento delle minacce informatiche e di condivisione delle informazioni in tutta l’UE.

2.7.

La Commissione raccomanda che, durante il processo di creazione del ciberscudo europeo, abbia luogo in futuro una graduale collaborazione con le reti e le piattaforme responsabili della condivisione delle informazioni nella comunità di ciberdifesa, in stretta collaborazione con l’Alto rappresentante.

2.8.

L’aggressione militare della Russia nei confronti dell’Ucraina ha dimostrato in che modo sia possibile mettere in campo operazioni informatiche offensive in quanto elementi fondamentali di tattiche ibride che comprendono coercizione, destabilizzazione e perturbazioni economiche.

3.   Osservazioni generali

3.1.

Il CESE accoglie con favore la proposta di regolamento in esame, che intende affrontare il problema dell’attuale frammentazione del mercato e accelerare la collaborazione tra le parti interessate europee sia del settore pubblico che di quello privato ai fini di una prevenzione, un rilevamento e una risposta migliori alle minacce informatiche. Una volta che sarà attuato, il regolamento potrà contribuire a rafforzare la resilienza dei sistemi europei.

3.2.

Tuttavia, è opportuno sottolineare che gli obiettivi stabiliti dalla proposta in esame sono gli stessi che vengono evidenziati nella proposta sull’unità congiunta per il ciberspazio (4), vale a dire una cooperazione rafforzata tra i sistemi informatici dell’UE e una loro maggiore preparazione e resilienza. Eppure, benché l’unità congiunta per il ciberspazio avesse dovuto entrare in funzione entro la fine del 2022, nella proposta della Commissione in esame non viene menzionata neppure una volta.

3.3.

Nessuna tecnologia o strumento è in grado di fornire, da solo/a, una protezione completa contro le minacce informatiche; gli Stati membri dovrebbero pertanto stabilire di comune accordo di adottare un approccio globale alla sicurezza che preveda personale qualificato, procedure applicate in maniera coerente e tecnologie di punta adeguate. È necessario mettere l’accento su una cooperazione migliore con il settore privato.

3.4.

Il CESE esprime il proprio disappunto per il fatto che il documento in esame non faccia riferimento neppure una volta alle parti sociali e alle organizzazioni della società civile. Non è possibile realizzare una cooperazione rafforzata tra enti pubblici e privati senza il pieno coinvolgimento della società civile organizzata dell’UE.

3.5.

L’UE dovrebbe adottare una strategia a medio termine per conseguire l’autonomia strategica nelle tecnologie fondamentali e nei settori critici, e il CESE raccomanda di sostenere le imprese con sede nell’Unione affinché sviluppino strutture di ricerca e produzione che favoriscano la creazione di un ecosistema informatico autonomo. Il CESE ha già raccomandato all’Unione europea di «ridurre la sua dipendenza dai giganti tecnologici stranieri raddoppiando gli sforzi per sviluppare un’economia digitale sicura, inclusiva e basata sui valori» (5).

3.6.

Il Comitato plaude calorosamente alla proposta di creare un ciberscudo europeo, che sarà costituito da centri operativi di sicurezza (Security Operations Centres — SOC) nazionali («SOC nazionali») e transfrontalieri («SOC transfrontalieri») e verrà dotato di tecnologie all’avanguardia. Per garantire la resilienza dell’intera catena di approvvigionamento, le soluzioni basate su tali centri operativi di sicurezza devono non solo salvaguardare le risorse organizzative interne, ma anche promuovere scambi sicuri e una cooperazione più ampia all’interno dell’ecosistema. Le specifiche tecniche della futura infrastruttura informatica dovranno consentire la piena interoperabilità tra i sistemi nazionali e il ciberscudo europeo.

3.7.

Il CESE insiste sul criterio fondamentale di acquistare solo tecnologie basate in Europa per dotare di tecnologie di punta i membri che aderiscono al ciberscudo europeo. L’UE non può correre il rischio di acquistare cibertecnologie critiche da aziende straniere, ed è «nell’interesse strategico dell’UE garantire che l’Unione mantenga e sviluppi le capacità essenziali per tutelare al proprio interno l’economia, la società e la democrazia digitali e realizzare una piena sovranità digitale come unico modo per proteggere le tecnologie critiche e per fornire servizi fondamentali ed efficaci di cibersicurezza» (6).

3.8.

Il Comitato ritiene adeguata la quota proposta dalla Commissione per finanziare l’acquisto di attrezzature destinate ai SOC nazionali (il 50 % finanziato dal bilancio nazionale e il 50 % da fondi dell’UE), poiché prevede un equo bilanciamento tra fondi nazionali e fondi europei. Occorre uno sforzo congiunto per garantire la fornitura di attrezzature ad alta tecnologia adeguate e un funzionamento coordinato della rete dei SOC.

3.9.

I SOC nazionali devono concentrarsi sull’elaborazione di protocolli globali di valutazione della sicurezza e di verifica e dovrebbero effettuare valutazioni con cadenza regolare. Per valutare e migliorare la resilienza a potenziali attacchi informatici, i SOC dei singoli Stati membri dovrebbero avere anche la preparazione necessaria per effettuare prove di stress a livello nazionale sulle infrastrutture critiche, i cui risultati dovranno essere condivisi nell’ambito del ciberscudo europeo; sono inoltre necessari sforzi congiunti per analizzare i problemi esistenti, aggiornare gli orientamenti sugli aspetti legati alla rendicontazione e affrontare efficacemente le questioni.

3.10.

Il CESE esprime preoccupazione poiché la Commissione europea non ha provveduto ad adottare, mediante atti di esecuzione, alcun sistema di cibersicurezza e, inoltre, nessun prodotto ha ancora ricevuto una certificazione informatica a quattro anni dall’adozione del regolamento dell’UE sulla cibersicurezza. Le agenzie settoriali dell’UE dovrebbero essere coinvolte nel processo di elaborazione dei sistemi di cibersicurezza dell’UE, e si dovrebbe adottare una norma minima europea, in cooperazione con il CEN (Comitato europeo di normazione), il Cenelec (Comitato europeo di normazione elettrotecnica) e l’ETSI (Istituto europeo delle norme di telecomunicazione), anche per i dispositivi dell’«Internet delle persone» (Internet of People — IoP) e per l’«Internet delle cose» (Internet of Things — IoT).

3.11.

L’informatica e la cibersicurezza devono entrare a far parte dei programmi di studio delle scuole primarie e secondarie di tutti gli Stati membri. Poiché negli ultimi anni le carenze di competenze in materia di cibersicurezza sono aumentate, il Comitato ritiene necessario valutare possibili incentivi a sostegno della cibersicurezza. Il Comitato accoglie con favore l’iniziativa di istituire un’Accademia per le competenze in materia di cibersicurezza e ritiene necessario introdurre degli indicatori che misurino i progressi compiuti nel colmare le lacune di competenze in materia di cibersicurezza.

3.12.

In tutto il mondo le economie digitali dovranno affrontare un pericolo sempre maggiore di attacchi informatici, a meno che non si provveda a rafforzare la cooperazione in ambito internazionale tra paesi, industria ed esperti per elaborare definizioni e soluzioni comuni in materia di cibersicurezza. La cooperazione internazionale è fondamentale per comprendere i rischi informatici e la natura mutevole degli attacchi informatici a livello mondiale, garantendo così la preparazione per affrontarli. L’UE deve partecipare a dibattiti globali sulla definizione di una strategia internazionale in materia di cibersicurezza, completa di azioni internazionali comuni e di una cooperazione rafforzata.

3.13.

Per creare una deterrenza efficace, è essenziale migliorare la risposta delle autorità di contrasto dell’UE concentrandosi sull’individuazione e il perseguimento degli autori di reati informatici, oltre che sulla possibilità di tracciarli. È fondamentale svolgere indagini tempestive sugli attacchi informatici e consegnarne i responsabili alla giustizia, anche ricorrendo alla diplomazia qualora i criminali informatici si trovino in paesi terzi.

4.   Osservazioni particolari

4.1.

Il CESE osserva che vi sono punti di vista divergenti riguardo a un’azione più centralizzata a livello dell’UE e in merito alle competenze e alla giurisdizione degli Stati membri, e si interroga sull’accordo finale raggiunto sulla proposta in esame, tanto più che, nelle conclusioni del Consiglio del 2021 (7), i paesi dell’UE hanno precisato che la responsabilità di rispondere agli incidenti e alle crisi di cibersicurezza su vasta scala che li colpiscono spetta a loro.

4.2.

Il CESE valuta positivamente il ruolo rafforzato dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e la proposta di attribuirle responsabilità aggiuntive dopo che il regolamento in esame sarà stato adottato. Tuttavia, il Comitato sottolinea che, per qualsiasi attività supplementare da realizzare, l’ENISA dovrà disporre non solo di personale ad hoc destinato a quei determinati compiti ma anche di un bilancio adeguato. Fino a quando questo non avverrà, l’ENISA non potrà ricoprire il proprio ruolo strategico chiave in conformità con le ambizioni dell’UE nel settore della cibersicurezza.

4.3.

A giudizio del CESE, la proposta della Commissione non chiarisce se un SOC nazionale possa far parte di più di un SOC transfrontaliero. Inoltre, non è chiaro se i SOC nazionali saranno raggruppati in base a criteri geografici o semplicemente in funzione della libera volontà degli Stati membri.

4.4.

Il CESE chiede di chiarire il significato dei termini «quantità significativa di dati «di cui all’articolo 6, paragrafo 2, lettera a), del regolamento in esame e quali siano gli «obiettivi» cui si riferisce la Commissione nella lettera c) del medesimo articolo 6, paragrafo 2.

4.5.

Qualora la proposta sui SOC transfrontalieri fosse accolta dagli Stati membri, e al fine di garantire il pieno coinvolgimento dei SOC nazionali e la gestione condivisa con i SOC transfrontalieri, la durata del mandato del SOC coordinatore di ciascun consorzio dovrebbe essere di un anno, con la possibilità per tutti i SOC di ricoprire, a rotazione, tale ruolo di coordinamento.

4.6.

Il CESE ritiene che il contributo finanziario dell’UE a favore del consorzio ospitante dovrebbe coprire il 100 % dei costi di acquisizione degli strumenti e delle infrastrutture e il 50 % dei costi operativi (invece delle quote fino, rispettivamente, al 75 % e al 50 % previste dalla proposta), affinché questi consorzi possano essere istituiti in tempi più brevi. Dovrebbe essere garantito un coordinamento in materia di appalti.

4.7.

Il Comitato ritiene che, affinché il ciberscudo europeo si riveli efficace nell’aiutare gli Stati membri a prepararsi e a rispondere agli incidenti informatici, si debbano adottare specifiche misure di risultato incentrate sul conseguimento di risultati concreti nonché indicatori chiave di prestazione (ICP) per valutare questi risultati. Il CESE raccomanda che le violazioni della cibersicurezza vengano sistematicamente registrate e che le informazioni al riguardo siano messe a disposizione delle legittime parti interessate: in questo modo sarà possibile effettuare una valutazione degli incidenti, attuare misure di prevenzione adeguate e tutelarsi da potenziali perdite.

4.8.

Il CESE prende atto della proposta di consentire agli Stati membri di presentare richieste di copertura dei costi relativi all’invio di squadre di esperti nel quadro dell’assistenza reciproca e la approva. Mentre si dovrebbe, da un lato, sostenere la procedura di assistenza reciproca, dall’altro si dovrebbe anche provare e collaudare in maniera adeguata e graduale il meccanismo di solidarietà per poterne dimostrare l’efficacia prima che venga pienamente attuato.

4.9.

Il Comitato si dichiara preoccupato, dal momento che i grandi campioni a livello internazionale nel campo della tecnologia dell’intelligenza artificiale (Elon Musk, Geoffrey Hinton ecc.) sempre più spesso mettono in guardia contro la minaccia esistenziale rappresentata dallo sviluppo dell’IA in un ambiente non regolamentato. La regolamentazione dell’IA dovrà avere un ambito di applicazione più ampio e approfondito rispetto alla legge sull’intelligenza artificiale (8), e il CESE chiede che venga fatto un uso responsabile della tecnologia dell’IA in tutti i progetti realizzati nell’UE, anche nel settore della cibersicurezza. Occorre intavolare fin da ora ulteriori discussioni al riguardo e introdurre un quadro normativo rafforzato in materia.

4.10.

Il CESE ha già avuto occasione di sottolineare che «[l’]UE dovrebbe adottare una posizione ferma contro qualsiasi sistema di punteggio sociale nei confronti dei cittadini. Il CESE chiarisce che una vera democrazia non può esistere senza una protezione efficace dei dati personali» (9). La tutela dei diritti umani e del diritto dei cittadini alla riservatezza devono rimanere regole fondamentali nello sviluppare sistemi di cibersicurezza rafforzati in tutta l’UE.

4.11.

I cittadini europei hanno un ruolo importante da svolgere nel segnalare le minacce informatiche alle autorità competenti. Il CESE ritiene fondamentale garantire l’esistenza di canali di comunicazione adeguati con i cittadini in generale e con le organizzazioni della società civile, e chiede la creazione di una piattaforma ad hoc per la raccolta di informazioni pertinenti sulle minacce informatiche. Per sviluppare strumenti di interazione con il grande pubblico, il Comitato invita a lanciare campagne di informazione e di sensibilizzazione volte a promuovere gli strumenti già disponibili.

4.12.

L’UE e la NATO dovrebbero collaborare per arrivare a un’armonizzazione delle norme in materia di cibersicurezza e di altre norme tecniche nel settore della difesa al fine di ridurre al minimo gli ostacoli e gli adempimenti burocratici. Inoltre, l’UE e la NATO dovrebbero collaborare anche in merito alle norme nel settore degli appalti e istituire congiuntamente un quadro efficace e trasparente in materia di appalti che consenta alle imprese, in particolare alle PMI, di partecipare a gare d’appalto pubbliche e di farsi concorrenza in maniera leale.

4.13.

Il CESE ritiene insufficienti le fonti di finanziamento messe a disposizione a livello dell’UE nella proposta in esame e chiede di esplorare anche altre fonti, compresa la messa in comune di risorse finanziarie private. Osserva che la Commissione non ha avanzato una specifica stima dei costi relativi ai programmi di IA, alle tecnologie di analisi dei dati e ai progetti di sviluppo delle infrastrutture che si renderanno necessari in tutti gli Stati membri e a livello dell’UE per attuare le azioni stabilite nella proposta di regolamento in esame.

4.14.

La Commissione propone che le siano attribuite competenze di esecuzione al fine di garantire condizioni uniformi di attuazione del regolamento, tra cui competenze per specificare le condizioni dell’interoperabilità tra i SOC transfrontalieri, determinare le modalità procedurali per la condivisione delle informazioni durante gli incidenti di cibersicurezza e stabilire i requisiti tecnici al fine di garantire la sicurezza del ciberscudo europeo, e altre ancora. Il CESE ritiene che tutte queste questioni avrebbero dovuto essere chiarite a monte per poi presentarle nella proposta di regolamento in esame, dal momento che la cibersicurezza rimane una prerogativa degli Stati membri e che conferire alla Commissione un potere eccessivo per apportare un cambiamento potrebbe generare inutili tensioni attraverso l’elusione del sistema democratico dell’UE.

4.15.

Il regolamento dell’UE sulla cibersicurezza comprende una componente industriale volta a realizzare un mercato unificato per le soluzioni di cibersicurezza attraverso la creazione della riserva dell’UE per la cibersicurezza. Tuttavia, la procedura per chiedere il sostegno della riserva dell’UE per la cibersicurezza appare molto lenta e non indica scadenze precise per fornire una risposta a tali richieste. Il Comitato sottolinea che la risposta da dare in caso di incidente informatico deve essere estremamente rapida, il che è chiaramente irrealizzabile con questa lunga e farraginosa procedura.

4.16.

La Commissione europea ha spiegato che non è stata realizzata una valutazione d’impatto dato il carattere urgente della proposta. Ha inoltre proposto di presentare una relazione esaustiva al Parlamento europeo e al Consiglio dopo quattro anni dall’entrata in vigore del regolamento. Tenuto conto dei rapidi sviluppi nel settore della cibersicurezza, il CESE ritiene che tale relazione dovrebbe essere presentata dopo due anni dall’entrata in vigore del regolamento, unitamente alla valutazione d’impatto che non è stata realizzata per la proposta in esame. Inoltre, il Comitato raccomanda vivamente che la proposta consideri con maggiore attenzione la questione del rispetto dei principi di sussidiarietà e proporzionalità, conformemente all’articolo 4, paragrafo 2, del TUE, poiché si tratta di un aspetto importante per evitare tensioni tra un’azione centralizzata a livello dell’UE, da un lato, e le competenze e la giurisdizione degli Stati membri, dall’altro.

4.17.

Infine, il CESE sottolinea l’importanza di integrare le considerazioni in materia di cibersicurezza in tutte le politiche dell’UE.

---

(1)  Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'Unione di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi.

(2)  Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (GU L 151 del 7.6.2019, pag. 15).

(3)  AESA (Agenzia dell’UE per la sicurezza aerea), ERA (Agenzia dell’UE per le ferrovie), EMA (Agenzia europea per i medicinali) e altre ancora.

(4)  Cibersicurezza nell'UE: Un'unità congiunta per il ciberspazio per rafforzare la risposta agli incidenti di sicurezza informatica su vasta scala.

(5)  Parere del Comitato economico e sociale europeo sul tema «Sovranità digitale: un pilastro cruciale della digitalizzazione e della crescita dell’UE» (parere d’iniziativa) (GU C 75 del 28.2.2023, pag. 8).

(6)  Parere del Comitato economico e sociale europeo sulla Comunicazione congiunta al Parlamento europeo e al Consiglio «La politica di ciberdifesa dell’UE» (parere d’iniziativa) (GU C 293 del 18.8.2023, pag. 21).

(7)  Conclusioni del Consiglio del 19 ottobre 2021 — Esplorare il potenziale dell'iniziativa concernente un'unità congiunta per il ciberspazio

(8)  Legge dell'UE sull'intelligenza artificiale

(9)  Parere del Comitato economico e sociale europeo sulla Comunicazione congiunta al Parlamento europeo e al Consiglio «La politica di ciberdifesa dell’UE» (parere d’iniziativa) (GU C 293 del 18.8.2023, pag. 21).