COMMISSIONE EUROPEA

Bruxelles, 24.2.2025

COM(2025) 66 final

2025/0036(NLE)

Proposta di

RACCOMANDAZIONE DEL CONSIGLIO

relativa a un programma dell'UE sulla gestione delle crisi di cibersicurezza

RELAZIONE

1.CONTESTO DELLA PROPOSTA

•Motivi e obiettivi della proposta

Il programma per la cibersicurezza è uno strumento non vincolante che individua azioni specifiche per gli attori rilevanti nell'ambito di una crisi informatica e che può migliorare l'efficacia complessiva del quadro di gestione delle crisi informatiche. Aggiorna il programma di cui alla raccomandazione (UE) 2017/1584 della Commissione relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala e si basa sui risultati e sugli insegnamenti ottenuti dalle esercitazioni svolte a livello dell'Unione da quando tale raccomandazione è stata adottata. Rientra inoltre in priorità politiche più ampie nei settori della preparazione e della sicurezza.

Secondo la definizione di cui alla direttiva (UE) 2022/2555 (direttiva NIS 2), per "incidente di cibersicurezza su vasta scala" si intende un incidente che causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri. Tale incidente, a seconda della sua causa e del relativo impatto, può aggravarsi e trasformarsi in vere e proprie crisi che compromettono il corretto funzionamento del mercato interno o che comportano gravi rischi di pubblica sicurezza per soggetti o cittadini in diversi Stati membri o nell'intera Unione.

•Coerenza con le disposizioni vigenti nel settore normativo interessato

•Coerenza con le altre normative dell'Unione

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

•Base giuridica

•Sussidiarietà (per la competenza non esclusiva)

Se da un lato la risposta alle perturbazioni delle infrastrutture critiche o dei servizi forniti da soggetti essenziali e importanti è in primo luogo di competenza degli Stati membri, alcune attività informatiche dolose di natura transfrontaliera possono perturbare e danneggiare le infrastrutture critiche di informazione da cui dipende il corretto funzionamento del mercato interno. L'Unione svolge pertanto un ruolo importante in caso di incidente o crisi significativi. Tali perturbazioni possono avere ripercussioni su più settori, o persino su tutti i settori, dell'attività economica all'interno del mercato unico e potrebbero incidere sulla sicurezza e sulle relazioni internazionali dell'Unione. Al fine di garantire il funzionamento del mercato interno, il coordinamento a livello dell'Unione in caso di perturbazioni delle infrastrutture critiche con effetti transfrontalieri significativi è non solo appropriato ma anche necessario. Risposte coordinate a livello dell'Unione sosterranno le reazioni degli Stati membri alle perturbazioni mediante una conoscenza situazionale condivisa, una comunicazione pubblica coordinata e l'attenuazione delle conseguenze delle perturbazioni sul mercato interno.

•Proporzionalità

•Scelta dell'atto giuridico

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

•Consultazioni dei portatori di interessi

2025/0036 (NLE)

Proposta di

RACCOMANDAZIONE DEL CONSIGLIO

relativa a un programma dell'UE sulla gestione delle crisi di cibersicurezza

IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 292,

vista la proposta della Commissione europea,

considerando quanto segue:

(1)La tecnologia digitale e la connettività globale rappresentano la colonna portante della crescita economica, della competitività e della trasformazione delle infrastrutture critiche dell'Unione. Tuttavia con un'economia interconnessa e sempre più digitale aumenta anche il rischio di incidenti e attacchi informatici. Inoltre le crescenti tensioni geopolitiche, i conflitti e la rivalità strategica si riflettono nell'impatto, nel volume e nella sofisticazione delle attività informatiche dolose. Tali attività possono far parte di minacce ibride multidimensionali o di operazioni militari. Possono anche incidere direttamente sulla sicurezza, sull'economia e sulla società dell'Unione. Inoltre possono avere effetti di ricaduta, in particolare quando sono destinate a paesi partner strategici internazionali come i paesi candidati o del vicinato.

(2)Un incidente di cibersicurezza su vasta scala può causare un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o ha un impatto significativo su più di uno Stato membro. Un simile incidente, a seconda della sua causa e del relativo impatto, potrebbe aggravarsi e trasformarsi in una vera e propria crisi che compromette il corretto funzionamento del mercato interno o che comporta gravi rischi di pubblica sicurezza per soggetti o cittadini in diversi Stati membri o nell'intera Unione. Una gestione efficace delle crisi è essenziale per mantenere la stabilità economica e proteggere i governi, le infrastrutture critiche, i cittadini e le imprese europei, nonché per contribuire alla sicurezza e alla stabilità internazionali nel ciberspazio. La gestione delle crisi informatiche è pertanto parte integrante del quadro generale dell'UE per la gestione delle crisi.

(3)Conformemente alle procedure di cui alla decisione di esecuzione (UE) 2018/1993 del Consiglio 2 , la decisione di attivare e disattivare i dispositivi integrati dell'UE per la risposta politica alle crisi (IPCR) è adottata dalla presidenza del Consiglio che consulta (salvo nei casi in cui sia stata invocata la clausola di solidarietà) gli Stati membri interessati, la Commissione e l'alto rappresentante (AR). Inoltre, secondo le procedure relative agli IPCR, il segretariato generale del Consiglio, i servizi della Commissione e il SEAE possono anche concordare, in consultazione con la presidenza, di attivare gli IPCR in modalità scambio di informazioni. Le discussioni nell'ambito degli IPCR si basano sulle relazioni sulla conoscenza e l'analisi integrate della situazione elaborate dai servizi della Commissione e dal Servizio europeo per l'azione esterna (SEAE).

(4)Se da un lato la responsabilità primaria della gestione delle crisi informatiche nazionali incombe agli Stati membri, la potenziale natura transfrontaliera e intersettoriale degli incidenti di cibersicurezza impone agli Stati membri e ai soggetti pertinenti dell'Unione di cooperare a livello tecnico, operativo e politico per coordinarsi efficacemente in tutta l'Unione. Al contempo, la risposta alle crisi e la relativa ripresa risultano onerose per i soggetti e i settori colpiti. La gestione delle crisi durante l'intero ciclo richiede pertanto preparazione e conoscenza situazionale condivisa per anticipare gli incidenti di cibersicurezza, le dovute capacità di individuazione per identificare gli incidenti di cibersicurezza e gli strumenti di risposta e ripristino necessari ai fini dell'attenuazione, della deterrenza e del contenimento di tali incidenti.

(5)La raccomandazione (UE) 2017/1584 della Commissione 3 relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala ha definito gli obiettivi e le modalità di cooperazione tra gli Stati membri e i soggetti dell'Unione nella risposta agli incidenti e alle crisi di cibersicurezza su vasta scala. Ha realizzato una mappatura degli attori rilevanti a livello tecnico, operativo e politico e ha spiegato in che modo sono stati integrati nella più ampia gestione delle crisi dell'Unione, come i dispositivi IPCR. I principi fondamentali stabiliti nella raccomandazione (UE) 2017/1584 restano validi, segnatamente la sussidiarietà, la complementarità e la riservatezza delle informazioni, nonché l'approccio a tre livelli (tecnico, operativo e politico).

(6)Dal 2017 l'Unione ha sviluppato il proprio quadro per la cibersicurezza attraverso diversi strumenti che contengono disposizioni rilevanti per la gestione delle crisi di cibersicurezza: regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio 4 , direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio 5 , regolamento di esecuzione (UE) 2024/2690 della Commissione 6 e regolamenti (UE, Euratom) 2023/2841 7 , (UE) 2021/887 8 , (UE) 2024/2847 9 e (UE) 2025/38 ("regolamento sulla cibersolidarietà") 10 del Parlamento europeo e del Consiglio. Tra le misure settoriali specifiche per le crisi di cibersicurezza figurano il regolamento delegato (UE) 2024/1366 della Commissione 11 e il futuro quadro di coordinamento sistemico degli incidenti informatici (Systemic Cyber Incident Coordination Framework, EU-SCICF) nel contesto del regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio 12 . La direttiva 2013/40/UE 13 fornisce il riferimento per la definizione di attività criminali connesse agli attacchi informatici e le norme dell'Unione sull'accesso transfrontaliero alle prove elettroniche; in particolare il regolamento (UE) 2023/1543 del Parlamento europeo e del Consiglio 14 , una volta attuate, agevoleranno in modo significativo l'azione di contrasto in questo settore. La politica di ciberdifesa dell'UE 15 delinea i ruoli di una rete operativa per le squadre militari di pronto intervento informatico (Military Computer Emergency Response Teams Operational Network, MICNET) dell'UE e della conferenza dei comandanti per la sicurezza informatica dell'UE e prevede l'istituzione di un centro di coordinamento della ciberdifesa dell'UE (EU Cyber Defence Coordination Centre, EUCDCC). Altri meccanismi di conoscenza situazionale e risposta alle crisi, di natura non informatica, sono presenti in alcuni dei settori critici elencati negli allegati I e II della direttiva (UE) 2022/2555. La raccomandazione del Consiglio relativa a un programma per coordinare una risposta a livello dell'Unione alle perturbazioni delle infrastrutture critiche con significativa rilevanza transfrontaliera 16 prevede la cooperazione tra gli attori rilevanti qualora un incidente interessi sia aspetti fisici sia la cibersicurezza dell'infrastruttura critica.

(7)A livello dell'Unione, tra gli attori rilevanti che hanno responsabilità in materia di gestione delle crisi informatiche figurano la Commissione, il SEAE, compresa la capacità unica di analisi dell'intelligence (Single Intelligence and Analysis Capacity, SIAC), l'Agenzia dell'Unione europea per la cibersicurezza (ENISA), il servizio per la cibersicurezza delle istituzioni, degli organi e degli organismi dell'Unione (CERT-UE), Europol tramite il suo Centro europeo per la lotta alla criminalità informatica (EC3), la rete europea dei funzionari di collegamento per le crisi informatiche (EU-CyCLONe), la rete di team di risposta agli incidenti di sicurezza informatica (Computer Security Incident Response Team, CSIRT), il centro satellitare dell'UE (SATCEN), il centro di monitoraggio della sicurezza Galileo e la rete di delegazioni dell'Unione. Tali attori dell'Unione dovrebbero determinare insieme i settori di cooperazione e contribuire all'attuazione del quadro di gestione delle crisi informatiche dell'Unione, conformemente alle loro competenze a norma del diritto applicabile.

(8)È necessaria una raccomandazione aggiornata che definisca un programma per la cibersicurezza ("programma per la cibersicurezza") per fornire orientamenti chiari e accessibili che spieghino in cosa consiste una crisi informatica a livello dell'Unione, in che modo è attivato il quadro di gestione delle crisi e quali sono i ruoli dei pertinenti attori e meccanismi a livello dell'Unione, nonché l'interazione tra tali attori e meccanismi durante l'intero ciclo della crisi informatica. Il programma per la cibersicurezza deve essere considerato nel contesto più ampio delle relazioni civili-militari e tra l'UE e la NATO.

(9)La presente raccomandazione integra i dispositivi integrati per la risposta politica alle crisi (IPCR) e i più ampi meccanismi di gestione delle crisi dell'Unione, tra cui il sistema generale di allarme rapido della Commissione ARGUS, il meccanismo unionale di protezione civile (UCPM) sostenuto dal Centro di coordinamento della risposta alle emergenze (Emergency Response Coordination Centre, ERCC), il meccanismo di risposta alle crisi (Crisis Response Mechanism, CRM) del Servizio europeo per l'azione esterna, nonché altri processi, come quelli descritti nel pacchetto di strumenti dell'UE contro le minacce ibride 17 e nel protocollo riveduto dell'UE per contrastare le minacce ibride. Inoltre integra e dovrebbe essere coerente con la raccomandazione del Consiglio relativa a un programma per coordinare una risposta a livello dell'Unione alle perturbazioni delle infrastrutture critiche con significativa rilevanza transfrontaliera ("programma per le infrastrutture critiche"), che riguarda la resilienza fisica non informatica e mira a migliorare il coordinamento della risposta a livello dell'Unione in questo settore.

(10)È opportuno promuovere un approccio globale e integrato alla gestione delle crisi in tutti i settori e a tutti i livelli di governance. La gestione intersettoriale delle crisi a livello dell'Unione dovrebbe essere rafforzata per consentire una risposta integrata alle crisi, in particolare nei casi in cui gli incidenti informatici causano conseguenze nella vita reale. Qualora gli incidenti di cibersicurezza facciano parte di una più ampia campagna o crisi ibrida, gli attori rilevanti dovrebbero sostenere gli sforzi volti a sviluppare un quadro situazionale unificato in diversi settori e ambiti. La raccomandazione contribuisce alle più ampie azioni di preparazione necessarie affinché l'Unione possa far fronte a minacce ibride multidimensionali [in linea con i principi integrati nella strategia dell'Unione in materia di preparazione].

(11)La sicurezza delle infrastrutture digitali critiche è fondamentale per la resilienza dell'economia, della società e della difesa dell'Unione. I soggetti che rientrano nell'ambito di applicazione della direttiva (UE) 2022/2555, compresi quelli che forniscono cavi di comunicazione sottomarini, devono adottare misure per proteggere la sicurezza fisica e ambientale dei sistemi informativi e di rete sulla base di un approccio multirischio, che contempli ad esempio guasti del sistema, errore umano, atti malevoli o fenomeni naturali. Inoltre tali soggetti dovrebbero segnalare gli incidenti, compresi quelli relativi ai cavi di comunicazione sottomarini, ai CSIRT o, se del caso, all'autorità competente. Sebbene i principi fondamentali alla base del programma per la cibersicurezza siano rilevanti per la sicurezza dei cavi sottomarini, i meccanismi da esso stabiliti non sono sufficientemente completi da coprire l'intero ciclo di resilienza alle crisi. La sua natura specifica richiede uno sforzo concertato e su misura per rispondere alle esigenze di sorveglianza integrata delle minacce e conoscenza situazionale per i bacini marittimi che circondano l'UE, investimenti strategici per creare ridondanze e un approccio europeo comune per accrescere le capacità di riparazione e ripristino. La strategia per la sicurezza marittima dell'UE comprende azioni volte a rafforzare la cibersicurezza nel settore marittimo e a migliorare la sorveglianza e la protezione delle infrastrutture marittime critiche, compresi i cavi sottomarini. Per la gestione delle crisi a livello dell'Unione si potrebbe prendere in considerazione la creazione di una rete specifica di punti di contatto nazionali e lo sviluppo di strette interazioni civili-militari, anche con la NATO.

(12)La preparazione a una crisi richiede una valutazione dei rischi globale che tenga conto di tutti i rischi e di tutte le minacce, data la convergenza degli interessi economici e di sicurezza dell'UE. Una conoscenza situazionale condivisa dell'Unione tra gli Stati membri e i soggetti dell'Unione, agevolata da un accordo su una tassonomia comune e canali di comunicazione sicuri, dovrebbe consentire una risposta coordinata e informata agli incidenti di cibersicurezza potenziali e su vasta scala, nonché un'azione di deterrenza contro gli autori di minacce persistenti. Sulla base del principio della necessità di conoscere e considerando l'importanza della fiducia nella condivisione delle informazioni, gruppi di Stati membri in varie configurazioni e, se del caso, soggetti pertinenti dell'Unione potrebbero voler cooperare e condividere informazioni pertinenti per la gestione degli incidenti informatici. La condivisione di informazioni su minacce, rischi e lacune in termini di maturità da parte degli Stati membri e dei soggetti dell'Unione dovrebbe consentire di individuare le giuste priorità per investimenti validi e azioni tangibili che porterebbero a una migliore ciberresilienza.

(13)Conformemente all'articolo 6 del regolamento (UE) 2019/881, l'ENISA elabora periodicamente, in stretta cooperazione con gli Stati membri, una relazione approfondita sulla situazione tecnica della cibersicurezza nell'Unione in merito agli incidenti e alle minacce informatiche. Tale relazione è denominata relazione congiunta di valutazione informatica dell'UE (EU Joint Cyber Assessment Report, EU-JCAR) ed è preparata con Europol/EC3 e CERT-UE al fine di rafforzare la preparazione dell'Unione, in quanto fornisce una conoscenza situazionale basata su un'analisi degli incidenti e delle minacce informatiche.

(14)Le infrastrutture critiche fondamentali, come le infrastrutture digitali, per i trasporti e per l'energia, i servizi sanitari o finanziari, nonché le soluzioni di sicurezza impiegate per proteggerle, sono solitamente gestite da imprese private. La protezione di tali infrastrutture dagli incidenti informatici su vasta scala richiede una stretta cooperazione tra soggetti pubblici e privati, compresi i produttori e gli sviluppatori open source, basata sulla fiducia e su procedure chiare e specifiche per la condivisione e la diffusione delle informazioni e il coordinamento della risposta.

(15)Le esercitazioni di cibersicurezza a livello dell'Unione sono uno strumento altamente efficace per sottoporre a prova le procedure e i meccanismi di cooperazione, migliorando in tal modo la preparazione. Poiché le esercitazioni sono molto dispendiose in termini di risorse, il programma delle esercitazioni deve essere consolidato e razionalizzato il più possibile e deve tenere conto degli scenari elaborati nell'ambito delle valutazioni dei rischi coordinate a livello dell'Unione e di altre iniziative pertinenti.

(16)Le infrastrutture digitali europee hanno molte dipendenze tecniche profondamente radicate. Tali dipendenze dovrebbero essere affrontate per garantire la continuità delle operazioni in caso di crisi. Ciò riguarda, ad esempio, il sistema dei nomi di dominio (Domain Name System, DNS), che è una componente fondamentale alla base delle operazioni che avvengono su internet. I risolutori DNS sono essenziali per accedere a internet, anche durante una grave crisi informatica, in quanto traducono nomi di dominio internet in indirizzi IP. La direttiva (UE) 2022/2555 incoraggia i portatori di interessi pertinenti ad adottare una strategia di diversificazione della risoluzione DNS. Incoraggia inoltre gli Stati membri a promuovere lo sviluppo e l'utilizzo di un servizio europeo di risoluzione DNS pubblico e sicuro quale misura fondamentale per garantire la preparazione e la resilienza alle crisi.

(17)Inoltre, per rafforzare la resilienza di altri componenti critici, come il sistema di instradamento, e garantirne la funzionalità durante le crisi informatiche gravi, è essenziale attuare tempestivamente le migliori pratiche corrispondenti e le norme più recenti disponibili. Di conseguenza il regolamento di esecuzione (UE) 2024/2690 prevede l'istituzione di un forum multipartecipativo per individuare le migliori norme e tecniche di diffusione disponibili per gli elementi essenziali di cibersicurezza e incoraggia la partecipazione dei soggetti pertinenti.

(18)Per individuare efficacemente le attività dolose nelle catene di approvvigionamento globali sempre più complesse che possono avere un impatto a livello dell'Unione, è necessario un approccio coordinato. Ciò è particolarmente importante per i settori in cui l'Unione si avvale di tecnologie provenienti da fornitori ad alto rischio soggetti alla giurisdizione di un paese terzo che impone di comunicare alle proprie autorità informazioni sulle vulnerabilità a livello di software o di hardware prima che queste diventino note e possano essere sfruttate. Gli attori finanziati dagli Stati possono anche posizionarsi preventivamente presso infrastrutture critiche con l'intento di causare perturbazioni in un secondo momento, ad esempio durante un conflitto. Tale comportamento è difficile da rilevare con i metodi tradizionali, in quanto gli autori di minacce dissimulano le loro attività inserendosi nel traffico legittimo e adottando tecniche "living off the land" che sfruttano strumenti e processi legittimi per nascondere attività dolose. Lo stesso vale per i paesi terzi in cui, secondo dichiarazioni pubbliche dell'Unione o dei suoi Stati membri, gli autori di minacce operanti al di fuori del territorio di tali paesi hanno condotto attività informatiche dolose contro l'Unione. Le catene di approvvigionamento dovrebbero diventare più resilienti e diversificate, mantenendo nel contempo una base comune di preparazione.

(19)A livello tecnico, i CSIRT, le autorità di contrasto e i poli informatici nazionali e transfrontalieri (poli informatici) da istituire a norma del regolamento (UE) 2025/38 svolgono un ruolo essenziale nell'individuazione degli incidenti, delle minacce informatiche e delle vulnerabilità, nel sostegno alle attribuzioni tecniche e nella ripresa dagli attacchi informatici. Sono essenziali modalità procedurali efficaci per la cooperazione tra la rete di CSIRT ed EU-CyCLONe, come previsto dalla direttiva (UE) 2022/2555. Il meccanismo di allerta europeo per la cibersicurezza mira a sostenere lo sviluppo di capacità avanzate affinché l'Unione migliori le capacità di individuazione, analisi ed elaborazione dei dati in relazione alle minacce informatiche e alla prevenzione degli incidenti nell'Unione.

(20)In termini di risposta immediata, i meccanismi a disposizione degli Stati membri comprendono la riserva dell'UE per la cibersicurezza e le azioni a sostegno dell'assistenza reciproca a norma del regolamento (UE) 2025/38, i gruppi di risposta rapida alle minacce ibride e i gruppi di risposta rapida agli incidenti informatici (Cyber Rapid Response Team, CRRT) della cooperazione strutturata permanente (PESCO), nonché i meccanismi previsti per gli alleati della NATO. Inoltre il protocollo di risposta alle emergenze delle autorità di contrasto (Law Enforcement Emergency Response Protocol, LEERP) dell'UE sostiene le autorità di contrasto dell'UE nel fornire una risposta immediata ai gravi attacchi informatici transfrontalieri attraverso una valutazione rapida, la condivisione sicura e tempestiva di informazioni critiche e un coordinamento efficace degli aspetti internazionali delle loro indagini, compresi la prevenzione della conflittualità a livello di autorità di contrasto e il coordinamento con i partner non preposti alle attività di contrasto. Ottenere un quadro chiaro delle opzioni di risposta disponibili in caso di incidenti informatici e attività ibride e delle relative modalità di impiego può garantire un'allocazione efficiente delle risorse ed evitare duplicazioni. Di conseguenza, a norma del regolamento (UE) 2025/38, gli Stati membri sono tenuti a informare la rete di CSIRT e EU-CyCLONe quando richiedono la fornitura dei servizi della riserva dell'UE per la cibersicurezza.

(21)Una lotta efficace contro la criminalità informatica è essenziale ai fini della cibersicurezza. Per conseguire la deterrenza non è sufficiente la resilienza, ma è necessario anche individuare e perseguire gli autori dei reati e attuare interventi di risposta nei loro confronti. La cooperazione attraverso sistemi e piattaforme tecnici adattati e lo scambio di informazioni rilevanti tra gli attori impegnati nella cibersicurezza, i soggetti responsabili della diplomazia informatica e le autorità di contrasto sono pertanto essenziali per garantire una comprensione globale del panorama delle minacce ed essere in grado di rispondere in modo coerente e coordinato.

(22)Le crisi generano incertezza che gli autori degli attacchi possono facilmente sfruttare per diffondere disinformazione e instillare sfiducia. Per contrastare questa problematica è essenziale una comunicazione pubblica chiara e coerente in merito alla situazione e alle misure adottate per porvi rimedio. Una comunicazione strategica coordinata può inoltre favorire le azioni diplomatiche nei confronti degli autori di minacce persistenti e lo sviluppo di un discorso sulle minacce che interessano l'Unione, sulle relative azioni di deterrenza e sulla necessità di promuovere un comportamento responsabile da parte degli Stati nel ciberspazio.

(23)Ai fini di una gestione efficace delle crisi è necessario individuare soluzioni comuni di comunicazione sicure per il settore informatico e attuarle in tutta l'Unione, anche, ove necessario, per lo scambio di informazioni classificate UE. A seguito della richiesta del Consiglio, la Commissione e altri soggetti pertinenti dell'Unione hanno realizzato una mappatura degli strumenti di comunicazione sicuri esistenti e hanno presentato i risultati nel dicembre 2022. Sono in atto vari sforzi distinti da parte di soggetti dell'Unione per sviluppare capacità di comunicazione sicure in caso di crisi che devono essere sfruttati e coordinati meglio. Tra di essi figurano l'istituzione di un sistema di comunicazione critica dell'UE (EU Critical Communication System, EUCCS) per rafforzare la resilienza dell'infrastruttura di comunicazione pubblica nei confronti delle interferenze malevole e migliorare la cooperazione operativa quotidiana, anche a livello transfrontaliero.

(24)Il contesto di sicurezza dell'Unione richiede un approccio multirischio, esteso a tutta l'amministrazione e a tutta la società, per la prontezza e la preparazione a livello civile e militare. Gli organismi militari si avvalgono di infrastrutture critiche civili, come le comunicazioni, l'energia, la sanità, i trasporti e la logistica. Di conseguenza, come sottolineato nella politica di ciberdifesa dell'UE 18 , la cibersicurezza dell'UE richiede una cooperazione e sinergie maggiori tra le capacità di preparazione e risposta delle reti civili e militari, anche in caso di attacco armato. Gli attori impegnati nella cibersicurezza dovrebbero collaborare trasversalmente tra i vari compartimenti istituzionali e operativi al fine di anticipare e affrontare la minaccia di perturbazioni multisettoriali e multidimensionali, in linea con i principi [da integrare] nella strategia dell'Unione in materia di preparazione. Inoltre l'attività informatica dolosa svolge un ruolo sempre più importante nelle campagne ibride più ampie rivolte contro l'Unione, i suoi Stati membri e i suoi partner strategici. È pertanto necessaria una maggiore cooperazione tra l'Unione e la NATO.

(25)Nella comunità militare, il futuro centro di coordinamento della ciberdifesa dell'UE e la capacità unica di analisi dell'intelligence (SIAC) nell'ambito del servizio europeo per l'azione esterna, la rete operativa delle squadre militari di pronto intervento informatico (MICNET) e la conferenza dei comandanti per la sicurezza informatica dell'UE facilitata dall'Agenzia europea per la difesa (AED), nonché i pertinenti progetti nell'ambito della cooperazione strutturata permanente (PESCO) rappresentano attori e iniziative importanti per il coordinamento e la cooperazione in materia di preparazione all'individuazione, alla deterrenza, alla difesa e alla ripresa in caso di minacce informatiche che interessano l'Unione e gli Stati membri. È pertanto opportuno incoraggiare la cooperazione tra attori civili e militari, come la cooperazione tra EU-CyCLONe e la conferenza dei comandanti per la sicurezza informatica dell'UE, nonché la potenziale collaborazione tra la MICNET e la rete di CSIRT.

(26)La cooperazione con organizzazioni e paesi partner strategici internazionali al di fuori dell'Unione rafforza le capacità di cibersicurezza dell'Unione. Promuovendo la cooperazione internazionale, l'Unione e i suoi partner possono garantire una conoscenza situazionale condivisa e coerenza nella gestione delle crisi informatiche, nonché una solida posizione in materia di deterrenza informatica, contribuendo a un ciberspazio globale, aperto, stabile, sicuro e resiliente. Tale collaborazione dovrebbe basarsi sulla fiducia e sull'obiettivo condiviso di proteggere le infrastrutture critiche e i servizi essenziali dalle minacce informatiche, anche promuovendo un comportamento responsabile da parte degli Stati nel ciberspazio basato sul quadro delle Nazioni Unite (ONU) e facendo in modo che gli autori delle minacce rispondano del loro comportamento irresponsabile e illegale nel ciberspazio. Le misure di diplomazia informatica contribuiscono alla deterrenza e alla risposta alle attività informatiche dolose e prevedono il coordinamento e la cooperazione con paesi partner strategici internazionali,

HA ADOTTATO LA PRESENTE RACCOMANDAZIONE:

I: obiettivo, ambito di applicazione e principi del quadro di gestione delle crisi informatiche dell'UE

(1)La presente raccomandazione stabilisce il quadro dell'Unione per la gestione delle crisi di cibersicurezza nel contesto della preparazione generale dell'UE alle minacce ibride multidimensionali. Nell'allegato 1 è illustrato e sintetizzato il modo in cui un incidente può degenerare in un incidente su vasta scala e, a sua volta, in una crisi a livello dell'UE, anche quando tale incidente coincide con altre minacce ibride che richiedono un'interazione tra le risposte necessarie. Il quadro di gestione delle crisi informatiche dovrebbe consentire agli attori rilevanti a livello dell'Unione, compresi i soggetti e le reti, di comprendere in che modo interagire e utilizzare al meglio i meccanismi esistenti di cui all'allegato II durante l'intero ciclo di gestione delle crisi. Raccomanda inoltre a detti attori a livello dell'Unione modalità di miglioramento dell'efficacia dei meccanismi esistenti.

(2)L'Unione e i suoi Stati membri dovrebbero seguire il programma per la cibersicurezza nella gestione di una crisi derivante da un incidente di cibersicurezza su vasta scala, quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555, che compromette il corretto funzionamento del mercato interno o comporta gravi rischi di pubblica sicurezza per soggetti o cittadini in diversi Stati membri o nell'intera Unione ("crisi informatica").

(3)Qualora un incidente di cibersicurezza, individuato a livello tecnico da un CSIRT o da un polo informatico, degeneri secondo le procedure interne della rete di CSIRT, dovrebbero essere condivise informazioni adeguate con EU-CyCLONe, conformemente alle pertinenti modalità procedurali, che a sua volta dovrebbe valutare se si tratta di un incidente su vasta scala potenziale o in corso quale definito all'articolo 6, punto 7), della direttiva (UE) 2022/2555. La determinazione dell'esistenza o della cessazione di una crisi informatica a seguito di tale incidente su vasta scala dovrebbe avvenire conformemente alla decisione di esecuzione (UE) 2018/1993, in particolare agli articoli 4 e 5.

(4)Conformemente ai principi di proporzionalità, sussidiarietà, complementarità e riservatezza delle informazioni di cui all'allegato III, gli Stati membri e i soggetti dell'Unione dovrebbero approfondire la loro cooperazione in materia di gestione delle crisi informatiche, promuovendo la fiducia reciproca e prendendo le mosse dalle reti e dai meccanismi esistenti. Sebbene il programma per la cibersicurezza non interferisca con il modo in cui i soggetti definiscono le proprie procedure interne, ciascun soggetto dovrebbe definire chiaramente le interfacce utilizzate per collaborare con altri soggetti. Tali interfacce dovrebbero essere concordate tra i soggetti interessati e chiaramente documentate.

(5)Il programma per la cibersicurezza dovrebbe essere applicato coerentemente con il programma per le infrastrutture critiche, in particolare in caso di incidenti che interessano sia la resilienza fisica che la cibersicurezza delle infrastrutture critiche 19 . Laddove esistano misure settoriali di gestione delle crisi riguardanti gli incidenti di cibersicurezza, tali misure dovrebbero essere attuate in modo coerente con la presente raccomandazione.

II: preparazione a una crisi informatica a livello dell'Unione

(a)Conoscenza situazionale e condivisione di informazioni

(6)Dati verificati e affidabili, comprese le tendenze in materia di incidenti, tattiche, tecniche e procedure, nonché le vulnerabilità attivamente sfruttate, dovrebbero costituire la base per una conoscenza situazionale comune del panorama delle minacce informatiche tra gli Stati membri e i soggetti dell'Unione. Tali conoscenze condivise dovrebbero essere utilizzate dagli Stati membri e dai soggetti dell'Unione per anticipare gli attacchi informatici, prepararsi ad essi e individuarli, in linea con i rispettivi settori di competenza. Tale conoscenza situazionale comune dovrebbe:

(a)applicarsi a tutti i settori critici elencati nella direttiva (UE) 2022/2555, in particolare le comunicazioni, le infrastrutture digitali, l'energia, i trasporti, la finanza, lo spazio e il settore sanitario, e dovrebbe altresì applicarsi, attraverso CERT-UE, alle reti e ai sistemi dei soggetti dell'Unione conformemente al regolamento (UE, Euratom) 2023/2841;

(b)essere basata su serie di dati diversificati e integrati di alta qualità, raccolti, elaborati e condivisi in tempo reale;

(c)essere presa in considerazione nella relazione congiunta di valutazione informatica (JCAR) e in altri prodotti pertinenti;

(d)tenere conto delle minacce ibride correlate, tra cui la manipolazione delle informazioni e le ingerenze da parte di attori stranieri e la disinformazione;

(e)sostenere azioni e misure di risposta a breve termine, nonché contribuire alla pianificazione strategica a lungo termine nel contesto della preparazione e della deterrenza;

(f)[essere collegata ad altre valutazioni dei rischi e delle minacce realizzate periodicamente e rafforzate dalla strategia dell'Unione in materia di preparazione al fine di garantire sinergie e semplificazione per quanto riguarda gli obblighi di segnalazione in capo agli Stati membri.]

(7)EU-CyCLONe e la rete di CSIRT dovrebbero:

(a)cooperare per migliorare la condivisione delle informazioni tra il livello tecnico e operativo e la conoscenza situazionale nel suo complesso;

(b)continuare a creare un clima di fiducia tra i membri;

(c)sfruttare appieno gli strumenti disponibili per la condivisione delle informazioni.

(8)Gli Stati membri e i soggetti pertinenti dell'Unione dovrebbero migliorare le modalità di coordinamento e di collaborazione con il settore privato, comprese le comunità open source e i produttori, al fine di migliorare la condivisione delle informazioni, sulla base dei centri di condivisione e di analisi delle informazioni attualmente esistenti a livello nazionale e dell'UE, rafforzare la capacità di cibersicurezza e rispondere agli incidenti di cibersicurezza, anche attraverso tavole rotonde con EU‑CyCLONe e la rete di CSIRT.

(9)Al fine di promuovere la cooperazione e rafforzare la fiducia, e sulla base degli accordi di condivisione delle informazioni sulla cibersicurezza di cui alla direttiva (UE) 2022/2555 e delle disposizioni del regolamento (UE) 2025/38 relative ai poli informatici, gli Stati membri e i soggetti pertinenti dell'Unione potrebbero scegliere di creare cluster di collaborazione volontari sulla base del principio della necessità di conoscere laddove siano presenti preoccupazioni comuni, quali la deterrenza, l'individuazione o la risposta a un particolare tipo di minaccia cui sono esposti in modo univoco. Detti cluster dovrebbero rispettare il mandato degli attori rilevanti e le strutture già istituite. Tali cluster di collaborazione potrebbero invitare i soggetti dell'Unione a collaborare, anche mediante infrastrutture adeguate.

(10)Entro 12 mesi dall'adozione del programma per la cibersicurezza gli Stati membri, tramite il gruppo di cooperazione NIS istituito dalla direttiva (UE) 2022/2555, dovrebbero sviluppare una tassonomia comune per quanto riguarda la gestione delle crisi informatiche e fornire una guida sul trattamento e sullo scambio sicuri di informazioni relative agli incidenti e alle crisi di cibersicurezza, comprendente una sezione dedicata alla determinazione del livello di riservatezza di tali informazioni (categorizzazione).

(11)Nel determinare il livello di riservatezza delle informazioni disponibili, gli Stati membri e i soggetti pertinenti dell'Unione dovrebbero considerare il potenziale impatto che una sovraclassificazione può avere sullo scambio volontario di informazioni e sul conseguimento di una conoscenza situazionale comune. Nel condividere informazioni non classificate, gli Stati membri dovrebbero sfruttare appieno le piattaforme esistenti per la cooperazione tecnica e operativa, come quelle utilizzate dalla rete di CSIRT e da EU-CyCLONe.

b)    Esercitazioni comuni

(12)Gli Stati membri e i soggetti pertinenti dell'Unione dovrebbero sviluppare un efficiente ciclo continuo di esercitazioni informatiche per prepararsi alle crisi informatiche e migliorare l'efficienza organizzativa. Tali esercitazioni dovrebbero basarsi sugli scenari elaborati sulla base di valutazioni dei rischi coordinate a livello dell'UE, comprese quelle relative alle crisi multisettoriali. Il ciclo continuo di esercitazioni informatiche dovrebbe tenere conto dell'UCPM e di altri meccanismi di risposta alle crisi a livello dell'Unione. Dovrebbe garantire che gli insegnamenti tratti dalle esercitazioni siano efficacemente messi a frutto.

(13)Gli attori rilevanti dell'Unione potrebbero effettuare esercitazioni ridotte per sottoporre a prova le loro interazioni e interfacce in caso di degenerazione di incidenti informatici.

(14)I servizi della Commissione, il SEAE e l'ENISA sono invitati a organizzare un'esercitazione per sottoporre a prova il programma per la cibersicurezza entro 18 mesi dalla sua adozione, coinvolgendo tutti gli attori rilevanti, compreso il settore privato.

c)    Capacità di risoluzione DNS

(15)Gli Stati membri, i soggetti pertinenti dell'Unione e i soggetti privati quali gli operatori di infrastrutture critiche dovrebbero migliorare la loro strategia di diversificazione della risoluzione dei sistemi dei nomi di dominio (DNS), anche prevedendo l'utilizzo di almeno un'infrastruttura DNS con sede nell'Unione, come DNS4EU, per garantire una risoluzione DNS affidabile durante le crisi gravi. L'ENISA ed EU-CyCLONe dovrebbero elaborare e mettere a disposizione orientamenti in materia di commutazione automatica (failover) di emergenza che definiscano le fasi per il passaggio all'infrastruttura DNS con sede nell'Unione in caso di interruzione di altri servizi DNS, garantendo la continuità dei servizi critici durante una crisi.

(16)Inoltre i poli informatici nazionali e i poli informatici transfrontalieri dovrebbero condividere le informazioni pertinenti sulle minacce con tali infrastrutture DNS con sede nell'Unione per aiutarle a fornire un livello elevato di protezione contro minacce specifiche per l'Unione, aumentando così ulteriormente le capacità di individuazione e attenuazione di tali minacce.

(17)Per rafforzare in generale la sicurezza e la disponibilità delle infrastrutture internet critiche, anche durante le crisi, gli Stati membri dovrebbero promuovere attivamente la partecipazione di tutti i portatori di interessi pertinenti, compresi quelli non direttamente contemplati nell'atto di esecuzione della direttiva NIS 2, nell'ambito del forum multipartecipativo incaricato che ha il compito di individuare le migliori norme e tecniche di diffusione disponibili per le misure fondamentali di sicurezza delle reti. Inoltre gli Stati membri dovrebbero prendere in considerazione la possibilità di partecipare al forum e adottare essi stessi gli orientamenti raccomandati.

d)    Risorse

(18)Gli Stati membri dovrebbero utilizzare appieno le risorse finanziarie disponibili per la cibersicurezza previste dai pertinenti programmi dell'Unione.

III: individuazione di un incidente che potrebbe degenerare in una crisi informatica

(19)Per affrontare la sempre maggiore complessità degli incidenti informatici e le crescenti sfide connesse alla loro individuazione, i soggetti pubblici e privati dovrebbero attuare strategie di individuazione basate sulle informazioni relative alle minacce in tutte le loro infrastrutture digitali, al fine di individuare eventuali posizionamenti preventivi che potrebbero essere sfruttati successivamente per causare perturbazioni. Quando individuano operazioni sotto copertura, i soggetti dovrebbero condividere proattivamente le informazioni pertinenti con i loro partner ben prima che la situazione degeneri in crisi.

(20)Tutti gli attori dovrebbero contribuire, conformemente ai rispettivi mandati e sulla base dell'approccio multirischio, fornendo alle reti pertinenti informazioni che indicano una potenziale crisi informatica.

(21)La rete di CSIRT ed EU-CyCLONe dovrebbero definire modalità procedurali in caso di incidente di cibersicurezza su vasta scala potenziale o in corso, al fine di garantire il coordinamento tecnico-operativo e informazioni tempestive e pertinenti a livello politico.

(22)La rete di CSIRT dovrebbe fornire consulenza a EU-CyCLONe in merito all'eventualità che un incidente di cibersicurezza osservato possa essere considerato un incidente su vasta scala potenziale o in corso.

(23)I poli informatici transfrontalieri, già istituiti o da istituire a norma del regolamento (UE) 2025/38, dovrebbero contribuire ai meccanismi a livello dell'Unione fornendo informazioni pertinenti in caso di incidente di cibersicurezza su vasta scala potenziale o in corso sulla base dell'approccio multirischio, anche per quanto riguarda i danni fisici alle infrastrutture critiche che compromettono la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete oppure accessibili tramite questi ultimi.

(24)Qualora sia individuato un incidente di cibersicurezza potenziale o su vasta scala con un impatto multisettoriale:

(a)la Commissione dovrebbe agevolare il flusso di informazioni necessarie tra i punti di contatto per i pertinenti meccanismi orizzontali e settoriali di gestione delle crisi a livello dell'Unione di cui all'allegato II ed EU-CyCLONe;

(b)i soggetti pertinenti dell'Unione dovrebbero sostenere EU-CyCLONe nella valutazione delle conseguenze per i settori e la popolazione.

IV: risposta a una crisi informatica a livello dell'Unione

(25)In caso di crisi informatica accertata nell'ambito degli IPCR, tutti gli attori dovrebbero rispondere in stretto coordinamento con altri soggetti che rispondono a minacce ibride più ampie secondo un approccio esteso a tutta l'amministrazione come segue:

(a)lo Stato membro interessato o gli Stati membri interessati e la rete di CSIRT dovrebbero cooperare per ripristinare rapidamente i sistemi compromessi, riducendo al minimo le perturbazioni;

(b)EU-CyCLONe, in cooperazione con la rete di CSIRT, dovrebbe fornire informazioni chiare a livello politico sull'impatto, sulle possibili conseguenze e sulle misure di risposta e ripristino in relazione all'incidente, anche contribuendo alla relazione sulla conoscenza e l'analisi integrate della situazione (Integrated Situational Awareness and Analysis, ISAA) nell'ambito dei dispositivi IPCR;

(c)la Commissione, se del caso in cooperazione con l'alta rappresentante, dovrebbe garantire la coerenza e il coordinamento tra le risposte alla crisi e le relative azioni di risposta a livello dell'Unione, in particolare i pertinenti meccanismi settoriali di gestione delle crisi a livello dell'Unione di cui all'allegato 2, e in relazione alla richiesta di assistenza tramite l'UCPM;

(d)la presidenza del Consiglio dovrebbe valutare la possibilità di invitare il presidente di EU-CyCLONe a tavole rotonde informali e ad altre pertinenti riunioni del Consiglio nell'ambito dei dispositivi IPCR;

(e)il Consiglio, sostenuto da EU-CyCLONe e dai pertinenti soggetti dell'Unione, dovrebbe coordinare gli sforzi di comunicazione pubblica, anche per garantire che la situazione di crisi non sia utilizzata per diffondere informazioni inesatte;

(f)l'alta rappresentante, in stretta cooperazione con la Commissione e altri soggetti pertinenti dell'Unione, dovrebbe sostenere il processo decisionale in seno al Consiglio, anche attraverso analisi e relazioni, sull'uso di possibili misure nell'ambito del pacchetto di strumenti della diplomazia informatica. In tal modo sarà possibile utilizzare l'intera gamma di strumenti dell'Unione disponibili ai fini della prevenzione, della deterrenza e della risposta alle attività informatiche dolose, rafforzando la posizione in materia di deterrenza informatica e promuovendo la pace, la sicurezza e la stabilità internazionali nel ciberspazio;

(g)la Commissione, l'alta rappresentante e gli Stati membri dovrebbero inoltre sfruttare in modo più efficace strumenti economici quali i divieti commerciali ai fini di una migliore prevenzione, deterrenza e risposta a persistenti attività informatiche dolose da parte di attori statali.

(26)Qualora un utente dei servizi forniti dalla riserva dell'UE per la cibersicurezza 20 richieda servizi della riserva conformemente all'articolo 15 del regolamento (UE) 2025/38, e fatti salvi eventuali futuri atti di esecuzione a norma di tale regolamento:

(a)i servizi dovrebbero essere mobilitati entro 24 ore dalla richiesta;

(b)la Commissione e l'alta rappresentante dovrebbero garantire il coordinamento con misure supplementari, in linea con il pacchetto di strumenti contro le minacce ibride 21 in caso di attività informatiche dolose che fanno parte di una campagna ibrida più ampia;

(c)in caso di attività informatica dolosa con una dimensione militare, lo Stato membro richiedente dovrebbe informare della sua richiesta la conferenza dei comandanti per la sicurezza informatica dell'Unione.

(27)In caso di incidente di cibersicurezza su vasta scala che compromette il corretto funzionamento di servizi spaziali essenziali per la sicurezza dell'Unione o dei suoi Stati membri, EU-CyCLONe dovrebbe informare l'alta rappresentante al fine di coordinare la possibile risposta con l'architettura di risposta alle minacce spaziali istituita conformemente alla decisione (PESC) 2021/698 del Consiglio.

V: ripresa da una crisi informatica

(28)Gli Stati membri, i soggetti pertinenti dell'Unione e le reti dovrebbero collaborare nella fase di ripresa sulla base degli insegnamenti tratti dalle esercitazioni condotte e dalle segnalazioni di incidenti, in particolare nel contesto del meccanismo europeo di riesame degli incidenti di cibersicurezza istituito dal regolamento (UE) 2025/38.

VI: comunicazione sicura

(29)Sulla base della mappatura degli strumenti di comunicazione sicura esistenti 22 , la Commissione, l'alta rappresentante, EU-CyCLONe, la rete di CSIRT e i soggetti pertinenti dell'Unione dovrebbero concordare entro la fine del 2026 una serie interoperabile di soluzioni di comunicazione sicura per gli attori rilevanti dell'Unione. Tali soluzioni dovrebbero riguardare l'intera gamma di modi di comunicazione richiesti (voce, dati, videoconferenza (VTC), messaggistica, collaborazione e condivisione e consultazione di documenti). Le soluzioni dovrebbero rispecchiare principi fondamentali quali gli interessi di sicurezza dell'Unione, la sovranità tecnologica e la riservatezza, nonché caratteristiche quali l'utilizzabilità, la sicurezza fin dalla progettazione, la certificazione da parte degli organismi europei per la sicurezza delle informazioni, la cifratura da punto a punto, l'autenticazione, la disponibilità e la crittografia post-quantistica. Le soluzioni dovrebbero soddisfare requisiti definiti di comune accordo per la protezione delle informazioni sensibili non classificate e includere strumenti per lo scambio di informazioni RESTREINT UE/EU RESTRICTED.

(30)Su tale base, gli attori a livello dell'Unione dovrebbero utilizzare soluzioni basate sul protocollo Matrix per la comunicazione in tempo reale. Il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca istituito a norma del regolamento (UE) 2021/887, fatto salvo il futuro quadro finanziario pluriennale, dovrebbe prendere in considerazione la possibilità di erogare finanziamenti attraverso il programma Europa digitale per assistere gli Stati membri nell'utilizzo di tali strumenti.

(31)In particolare, gli enti e gli Stati membri dell'UE dovrebbero sviluppare piani di emergenza in caso di crisi gravi in cui i normali canali di comunicazione basati su internet o su reti di telecomunicazione non siano disponibili o siano oggetto di perturbazioni.

(32)A medio termine dovrebbero essere istituiti meccanismi di comunicazione e condivisione delle informazioni tra le autorità di contrasto e le reti di cibersicurezza, in particolare a livello tecnico, al fine di rispondere efficacemente alle crisi. Tali meccanismi dovrebbero rispettare il ruolo di ciascuna parte ed evitare di interferire con le operazioni in corso. La Commissione collabora con gli Stati membri per istituire il sistema europeo di comunicazione critica (EUCCS), che dovrebbe collegare entro il 2030 le reti di comunicazione delle autorità di contrasto e della protezione civile in tutto lo spazio Schengen, al fine di poter utilizzare le apparecchiature di comunicazione critiche nel territorio di altri Stati membri. L'EUCCS può pertanto apportare benefici anche alla risposta congiunta con le pertinenti comunità informatiche. Tale sistema dovrebbe includere le comunicazioni di backup, ad esempio quelle via satellite.

VII: coordinamento delle crisi informatiche con gli attori militari

(33)EU-CyCLONe e la conferenza dei comandanti per la sicurezza informatica dell'UE, la MICNET e la rete di CSIRT, nonché un futuro centro di coordinamento della ciberdifesa dell'UE e i suoi omologhi civili dell'Unione dovrebbero cooperare per sviluppare una conoscenza situazionale comune tra gli attori civili e militari.

(34)L'Unione, tenendo conto degli accordi esistenti quali l'accordo tecnico CERT-UE/NATO del 2016, dovrebbe adoperarsi per istituire punti di contatto per il coordinamento con la NATO in caso di crisi informatica al fine di scambiare le informazioni necessarie sulla situazione e sull'impiego dei meccanismi di risposta alle crisi. A tal fine, l'Unione dovrebbe valutare modalità per migliorare le capacità di condivisione delle informazioni con la NATO, anche attraverso eventuali interconnessioni tra i rispettivi sistemi di informazione e di comunicazione.

(35)Qualora, nel contesto di un incidente di cibersicurezza, ricorra a iniziative di difesa pertinenti, come i CRRT della PESCO o altre iniziative pertinenti, come i gruppi di risposta rapida dell'Unione alle minacce ibride (Hybrid Rapid Response Team, HRRT), uno Stato membro dovrebbe informare EU-CyCLONe e la conferenza dei comandanti per la sicurezza informatica dell'UE.

VIII: cooperazione con partner strategici

(36)L'alta rappresentante, in stretta cooperazione con la Commissione e altri soggetti pertinenti dell'Unione, dovrebbe:

(a)agevolare il flusso delle informazioni necessarie con i partner strategici, nel caso in cui sia individuato un incidente;

(b)rafforzare il coordinamento con i partner strategici per quanto riguarda la risposta ad attività informatiche dolose durevoli da parte di autori di minacce persistenti, in particolare quando si avvale del pacchetto di strumenti della diplomazia informatica, in linea con i relativi orientamenti di attuazione.

(37)Gli Stati membri, l'alta rappresentante, la Commissione e altri soggetti pertinenti dell'Unione dovrebbero collaborare con i partner strategici e le organizzazioni internazionali per promuovere le buone pratiche e il comportamento responsabile degli Stati nel ciberspazio e garantire una reazione rapida e coordinata in caso di incidenti informatici potenziali o su vasta scala.

(38)Nell'ambito del ciclo continuo di esercitazioni di cui alla sezione II, i servizi della Commissione e il SEAE dovrebbero prendere in considerazione la possibilità di organizzare un'esercitazione congiunta del personale per sottoporre a prova la cooperazione tra componenti civili e militari in caso di incidente informatico su vasta scala che interessi gli Stati membri dell'Unione e gli alleati della NATO, anche in caso di attivazione o probabile attivazione degli articoli 4 o 5 del trattato NATO.

(39)Data l'esposizione dei paesi candidati e la possibilità che si verifichino incidenti informatici nel vicinato dell'Unione, dovrebbero essere prese in considerazione esercitazioni congiunte che coinvolgano i paesi candidati.

Fatto a Bruxelles, il

(1)    Un gruppo informale composto dai servizi della Commissione e da altri servizi dell'UE.

(2)    Decisione di esecuzione (UE) 2018/1993 del Consiglio, dell'11 dicembre 2018, relativa ai dispositivi integrati dell'UE per la risposta politica alle crisi (GU L 320 del 17.12.2018, pag. 28, ELI: http://data.europa.eu/eli/dec_impl/2018/1993/oj).

(3)    Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala (GU L 239 del 19.9.2017, pag. 36, ELI: http://data.europa.eu/eli/reco/2017/1584/oj).

(4)    Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 ("regolamento sulla cibersicurezza") (GU L 151 del 7.6.2019, pag. 15, ELI:  http://data.europa.eu/eli/reg/2019/881/oj ).

(5)    Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80, ELI:  http://data.europa.eu/eli/dir/2022/2555/oj ).

(6)    Regolamento di esecuzione (UE) 2024/2690 della Commissione, del 17 ottobre 2024, recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza e l'ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari (GU L, 2024/2690, 18.10.2024).

(7)    Regolamento (UE, Euratom) 2023/2841 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione (GU L, 2023/2841, 18.12.2023, ELI:  http://data.europa.eu/eli/reg/2023/2841/oj ).

(8)    Regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio, del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento (GU L 202 dell'8.6.2021, pag. 1, ELI:  http://data.europa.eu/eli/reg/2021/887/oj ).

(9)    Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) (GU L, 2024/2847, 20.11.2024, ELI:  http://data.europa.eu/eli/reg/2024/2847/oj ).

(10)    Regolamento (UE) 2025/38 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il regolamento (UE) 2021/694 (regolamento sulla cibersolidarietà) (GU L, 2025/28, 15.1.2025, ELI:  http://data.europa.eu/eli/reg/2025/38/oj ).

(11)    Regolamento delegato (UE) 2024/1366 della Commissione, dell'11 marzo 2024, che integra il regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio istituendo un codice di rete relativo a disposizioni settoriali per gli aspetti di cibersicurezza dei flussi transfrontalieri di energia elettrica (GU L, 2024/1366, 24.5.2024, ELI:  http://data.europa.eu/eli/reg_del/2024/1366/oj ).

(12)    Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (GU L 333 del 27.12.2022, pag. 1, ELI:  http://data.europa.eu/eli/reg/2022/2554/oj ).

(13)    Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU L 218 del 14.8.2013, pag. 8, ELI: http://data.europa.eu/eli/dir/2013/40/oj).

(14)    Regolamento (UE) 2023/1543 del Parlamento europeo e del Consiglio, del 12 luglio 2023, relativo agli ordini europei di produzione e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali e per l'esecuzione di pene detentive a seguito di procedimenti penali e direttiva (UE) 2023/1544 del Parlamento europeo e del Consiglio, del 12 luglio 2023, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove elettroniche nei procedimenti penali (GU L 191 del 28.7.2023, pag. 118, ELI: http://data.europa.eu/eli/reg/2023/1543/oj).

(15)    JOIN(2022) 49 final.

(16)    GU C, C/2024/4371, 5.7.2024. 

(17)    Conclusioni del Consiglio su un quadro per una risposta coordinata dell'UE alle campagne ibride (22 giugno 2022).

(18)    La politica di ciberdifesa dell'UE (JOIN(2022) 49 final).

(19)     Il programma per le infrastrutture critiche precisa ulteriormente il coordinamento in tali casi nella parte I, sezione 4, del suo allegato.

(20)    La riserva dell'UE per la cibersicurezza è un meccanismo costituito da servizi erogati da fornitori di fiducia di servizi di sicurezza gestiti per sostenere la risposta e avviare azioni di ripresa, su richiesta, in caso di incidenti di cibersicurezza significativi, di incidenti di cibersicurezza su vasta scala e di incidenti di cibersicurezza equivalenti a incidenti su vasta scala che interessano gli Stati membri, le istituzioni, gli organi o gli organismi dell'Unione o i paesi terzi associati al programma Europa digitale.

(21)    Il pacchetto di strumenti contro le minacce ibride è un quadro per una risposta coordinata alle campagne ibride che interessano l'UE e i suoi Stati membri, che comprende ad esempio misure preventive, di cooperazione, di stabilità, restrittive e di ripresa, e sostiene la solidarietà e l'assistenza reciproca.

(22)    HWPCI WK 862/23.

COMMISSIONE EUROPEA

Bruxelles, 24.2.2025

COM(2025) 66 final

ALLEGATI

della

proposta di RACCOMANDAZIONE DEL CONSIGLIO

relativa a un programma dell'UE sulla gestione delle crisi di cibersicurezza

Allegato I – Programma dell'Unione per rispondere a una crisi di cibersicurezza

Il diagramma seguente illustra e sintetizza il programma dell'Unione per la cibersicurezza: chi parla con chi durante una crisi di cibersicurezza dell'Unione, conformemente ai pertinenti meccanismi di gestione delle crisi dell'UE di cui all'allegato II. Una crisi di questo tipo comporterà inevitabilmente un impatto sul mondo reale in uno o più settori critici e richiederà uno stretto coordinamento tra la comunità informatica e i meccanismi di risposta settoriali e di protezione civile. Un incidente informatico può far parte di campagne ibride più ampie e la risposta informatica dovrebbe pertanto essere coordinata con altre azioni in linea con la strategia dell'Unione in materia di preparazione.

ALLEGATO II – ATTORI (ENTITÀ E RETI) RILEVANTI A LIVELLO DELL'UNIONE E MECCANISMI DI GESTIONE DELLE CRISI

(1)Attori rilevanti a livello dell'Unione durante il ciclo di gestione delle crisi informatiche

(2)Ruoli e competenze degli attori rilevanti a livello dell'Unione (in ordine alfabetico) in relazione alla gestione delle crisi informatiche

(3)Meccanismi di gestione delle crisi pertinenti a livello dell'Unione

(4)Settori ad alta criticità e altri settori critici a norma della direttiva (UE) 2022/2555 e meccanismi settoriali di gestione delle crisi a livello dell'Unione (se del caso)

ALLEGATO 3 – PRINCIPI GUIDA

I principi stabiliti nel programma per la cibersicurezza del 2017 continuano a essere rilevanti.

Proporzionalità: la maggior parte degli incidenti di cibersicurezza che interessano gli Stati membri ha una portata inferiore a quella che permetterebbe di considerarli alla stregua di una crisi nazionale o dell'Unione. In caso di incidenti informatici, gli Stati membri cooperano nell'ambito della rete di CSIRT e di EU-CyCLONe in linea con le rispettive procedure.

Sussidiarietà: gli Stati membri hanno la responsabilità primaria di reagire in caso di incidenti o crisi di cibersicurezza su vasta scala che li riguardino. La Commissione, il servizio europeo per l'azione esterna, l'ENISA, CERT-UE, Europol e tutti gli altri soggetti pertinenti dell'Unione svolgono ruoli importanti durante l'intero ciclo di vita delle crisi. Tale ruolo è definito nei dispositivi IPCR, ma deriva anche dal diritto dell'Unione e riflette il modo in cui gli incidenti e le crisi di cibersicurezza si ripercuotono su uno o più settori dell'attività economica nel mercato unico, sulla sicurezza e sulle relazioni internazionali dell'Unione, nonché sulle istituzioni stesse.

Complementarità: la presente raccomandazione tiene pienamente conto dei meccanismi di gestione delle crisi esistenti a livello dell'Unione, segnatamente i dispositivi IPCR, ARGUS e il meccanismo di risposta alle crisi del SEAE. Tiene conto dei ruoli modificati della rete di CSIRT e di EU-CyCLONe in base alle norme adottate dal 2017 per massimizzare le sinergie e ridurre al minimo le duplicazioni, nonché dell'adozione del protocollo di risposta alle emergenze delle autorità di contrasto dell'UE.

Riservatezza delle informazioni: tutti gli scambi di informazioni nel contesto della presente raccomandazione devono essere conformi alle norme applicabili in materia di sicurezza e di protezione dei dati personali e al sistema basato sul protocollo TLP (Traffic Light Protocol) per la classificazione delle informazioni sensibili. Per lo scambio di informazioni classificate, indipendentemente dal sistema di classificazione utilizzato, dovrebbero essere utilizzati strumenti accreditati. Per quanto riguarda il trattamento dei dati personali devono essere rispettate in particolare le norme dell'Unione applicabili, segnatamente il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 1 , la direttiva 2002/58/CE del Parlamento europeo e del Consiglio 2 e il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 3 .

(1)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(2)    Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

(3)    Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).