Regolamento sulla cibersicurezza dell’Unione

SINTESI DI:

Regolamento (UE) 2019/881 relativo all’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (regolamento sulla cibersicurezza)

QUAL È L’OBIETTIVO DEL REGOLAMENTO?

Il regolamento (UE) 2019/881 punta a raggiungere un elevato livello di cibersicurezza, ciberresilienza e fiducia nell’Unione europea (Unione) definendo:

PUNTI CHIAVE

Il mandato di ENISA prevede quanto segue:

I compiti dell’ENISA sono:

ENISA ha la seguente struttura amministrativa e di gestione.

Il regolamento istituisce quanto segue.

ENISA:

Il regolamento istituisce un quadro europeo di certificazione della cibersicurezza al fine di:

In base al quadro:

I sistemi europei di certificazione volontaria della cibersicurezza:

I fabbricanti e i fornitori di prodotti TIC, servizi TIC, processi TIC e servizi di sicurezza gestiti devono rendere pubblicamente disponibili:

Gli Stati membri designano una o più autorità nazionali di certificazione della cibersicurezza che dispongano di risorse adeguate per l’esercizio dei loro poteri e per supervisionare e far applicare le regole previste nei sistemi europei di certificazione della cibersicurezza.

La Commissione:

Le persone fisiche e giuridiche hanno il diritto di presentare un reclamo all’emittente di un certificato europeo di cibersicurezza e a ricercare un ricorso giurisdizionale effettivo.

Modifica: servizi di sicurezza gestiti

Nel dicembre del 2024 è stato adottato il regolamento (UE) 2025/37, che modifica il regolamento per quanto riguarda i servizi di sicurezza gestiti. Questa modifica mirata introduce la definizione di servizi di sicurezza gestiti ed estende l’ambito di applicazione del quadro europeo di certificazione della cibersicurezza includendo i servizi di sicurezza gestiti. Pertanto, estende il mandato e i compiti di ENISA per quanto riguarda i servizi di sicurezza gestiti.

Il regolamento (UE) 2025/37 è stato pubblicato nella Gazzetta ufficiale il ed è in vigore dal .

Notifiche degli organismi di valutazione della conformità

Nel dicembre del 2024, la Commissione ha adottato il regolamento di esecuzione (UE) 2024/3143 per le notifiche a norma dell’articolo 61, paragrafo 5, del regolamento sulla cibersicurezza. L’atto di esecuzione stabilisce le circostanze, le formalità e le procedure per le notifiche degli organismi di valutazione della conformità nei sistemi europei di certificazione della cibersicurezza attraverso il sistema di informazione NANDO (new approach notified and designated organisations). Esso chiarisce inoltre le circostanze in cui si dovrebbero apportare modifiche alla notifica e sulla base delle quali la competenza degli organismi di valutazione della conformità notificati potrebbe essere impugnata.

Il regolamento di esecuzione (UE) 2024/3143 è stato pubblicato nella Gazzetta ufficiale il ed è in vigore dall’.

Sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)

Nel gennaio del 2024, la Commissione ha adottato il regolamento di esecuzione (UE) 2024/482 (si veda la sintesi). Questo atto stabilisce le norme per l’applicazione del regolamento (UE) 2019/881 per quanto riguarda l’adozione del sistema europeo volontario di certificazione della cibersicurezza basato sui criteri comuni (EUCC). Si tratta del primo sistema a livello dell’Unione e riguarda i certificati ai livelli di garanzia «elevati» o «sostanziali» per i prodotti TIC, come hardware e software, compresi componenti quali chip e smart card. Il regolamento include norme dettagliate su aspetti quali:

Il regolamento di esecuzione EUCC è in vigore dal .

Il regolamento (UE) 2019/881 e il relativo regolamento di esecuzione non incidono sulle responsabilità degli Stati membri in materia di pubblica sicurezza, difesa, sicurezza nazionale o diritto penale.

Il regolamento abroga il regolamento (UE) n. 526/2013 a partire dal .

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

Il regolamento è in vigore dal .

Gli articoli sulla designazione delle autorità nazionali di cibersicurezza, l’accreditamento e la notifica degli organismi di valutazione della conformità, il diritto di presentare reclami agli emittenti di certificati europei di cibersicurezza e il diritto a un ricorso giurisdizionale nonché a sanzioni, vengono applicati dal .

CONTESTO

ENISA ha sede ad Atene e ha una succursale a Heraklion, contribuisce alla rete e alla sicurezza delle informazioni dell’Unione dal 2004.

Per ulteriori informazioni, si veda:

TERMINI CHIAVE

  1. Minaccia informatica. Una potenziale circostanza, evento o azione che potrebbe danneggiare, interrompere o influenzare negativamente i sistemi di rete e di informazione, i loro utenti e altri.

DOCUMENTO PRINCIPALE

Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del , relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del , pag. 15).

Le successive modifiche al regolamento (UE) 2019/881 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

ultimo aggiornamento: