Cyber Resilience

Cyber security delle istituzioni UE: contesto e analisi del nuovo Regolamento

La crisi russo-ucraina ha posto l’accento sull’importanza della sicurezza cibernetica delle infrastrutture che erogano servizi essenziali: a tal proposito, l’Unione europea ha pubblicato una bozza di Regolamento volto proprio a garantire la protezione di istituzioni, organi e agenzie. Ecco i punti cardine

13 Apr 2022
F
Lucrezia Falciai

Associate presso Chiomenti, specializzata in cybersecurity e data protection

Tra i numerosi effetti del conflitto in atto tra Russia e Ucraina deve essere senz’altro annoverato anche quello di aver posto l’accento sull’importanza della sicurezza cibernetica delle infrastrutture che erogano un servizio essenziale. Infatti, la crescente preoccupazione di azioni ostili attraverso il cyberspazio ha spinto alcuni tra i più importanti attori nazionali e sovranazionali ad accelerare l’adozione di misure elevate tese ad incrementare i livelli di cyber security dei propri processi critici.

Un esempio su tutti è la progressiva realizzazione, da parte degli Stati Uniti, di normative volte a tutelare le proprie infrastrutture critiche (si vedano, le iniziative finalizzate a proteggerle da attacchi alla supply chain, così come la proposta di regole per gestire e minimizzare gli incidenti informatici segnalati dalle società pubbliche della Securities and Exchange Commission – SEC).

Anche l’Unione europea non è rimasta a guardare e, recentemente, ha pubblicato una bozza di Regolamento volto proprio a innalzare i livelli di sicurezza cibernetica delle proprie istituzioni, organi e agenzie, attraverso l’incremento della resilienza dei sistemi e delle capacità di risposta agli attacchi cyber.

Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa

Genesi della bozza di Regolamento UE sulla cyber security

La proposta normativa trova il proprio fondamento nella presa di coscienza della crescita esponenziale degli incidenti informatici significativi subiti dai destinatari del Regolamento.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Nel merito, secondo quanto emerso dalle analisi condotte dal CERT-EU, il Computer Emergency Response Team dell’Unione europea, questi sono rappresentati principalmente da attori cosiddetti APT (Advanced Persistent Threat), ovvero soggetti dotati di capacità tecniche di alto profilo, spesso riconducibili a Stati o sponsorizzati da essi, che effettuano attacchi mirati e persistenti.

In particolare, il CERT-EU ha rilevato come, nella sola prima metà del 2021, si siano verificati tanti incidenti significativi quanti in tutto il 2020, confermando, peraltro, il trend registrato negli scorsi anni, che ha visto nel 2020 il triplicarsi degli attacchi cyber rispetto al 2019.

Laddove la bozza di Regolamento fosse approvata con il testo attuale, tra le principali attività che le istituzioni, gli organi e le agenzie europee dovranno porre in essere per fronteggiare l’incremento degli attacchi cibernetici, vi è l’implementazione della cosiddetta “base di riferimento per la cibersicurezza”, ossia di una serie di norme minime in materia di cyber security alle quali i sistemi informatici e di rete, oltre che i relativi operatori e utenti, dovranno conformarsi per ridurre al minimo questo genere di rischi.

Gestione, governance e controllo dei rischi cyber

Essa deve essere approvata dal livello dirigenziale più elevato di ogni istituzione, organo e agenzia dell’Unione e deve essere finalizzata a gestire i rischi di cyber security che ciascun soggetto avrà precedentemente individuato attraverso un ulteriore adempimento chiave nella visione del legislatore europeo, ovvero il “quadro interno di gestione, governance e controllo”. Tale quadro, infatti, dovrà essere stabilito da ogni istituzione, organo e agenzia dell’Unione europea, in raccordo con la propria missione ed esercitando la propria autonomia istituzionale.

Esso dovrà tener conto della totalità dell’ambiente informatico dell’istituzione, dell’organo o dell’agenzia interessati, compresi ogni ambiente informatico in loco, le risorse e i servizi esternalizzati in ambienti di cloud computing od ospitati da terzi, i dispositivi mobili, le reti interne, le reti professionali non connesse a Internet e qualsiasi dispositivo connesso all’ambiente informatico.

Il quadro, inoltre, dovrà contemplare anche gli aspetti legati alla continuità operativa e alla gestione delle crisi, prendendo in considerazione la sicurezza della catena di approvvigionamento, come pure la gestione dei rischi umani che potrebbero avere ripercussioni sulla cibersicurezza dell’istituzione, organo o agenzia dell’Unione europea.

Raggiungere un comune livello di sicurezza cibernetica

Tale approccio appare fin da ora funzionale a soddisfare due esigenze diverse. La prima, legata alla necessità di raggiungere un livello comune elevato di sicurezza cibernetica nelle istituzioni europee, riducendo l’attuale disomogeneità soprattutto legata agli aspetti di resilienza dei sistemi informatici e delle reti.

Infatti, come emerge finanche dalle parole della stessa Commissione europea, la disomogeneità riscontrata a seguito dell’analisi delle organizzazioni di cyber security dei destinatari del Regolamento rappresenta una delle principali criticità, nonché un ostacolo ad un’amministrazione europea aperta, efficiente e indipendente.

Inoltre, sempre la Commissione ha evidenziato che, senza un approccio comune, la sicurezza informatica continuerebbe a svilupparsi lungo direttrici tra loro divergenti, non consentendo, così, il raggiungimento di un livello comune elevato.

La seconda esigenza riscontrabile, invece, emerge con forza dalla lettura del considerando 7 dell’attuale bozza, il quale pone l’accento sulla necessità di non trascurare le peculiarità di ciascuna entità destinataria del Regolamento.

Infatti, appare evidente come le differenze tra le istituzioni, gli organi e le agenzie dell’Unione europea richiedano flessibilità nell’attuazione delle disposizioni normative, poiché – com’è noto – “one size will not fit all” (non esiste una soluzione unica per tutti).

Nella bozza in analisi, quindi, ciò si traduce nella possibilità per i destinatari di individuare un proprio quadro di gestione, governance e controllo del rischio di cyber security a seconda, appunto, delle specifiche esigenze riscontrate e analizzate.

Le novità del Regolamento sul piano istituzionale

Ulteriori elementi di novità che emergono dalla bozza del Regolamento si possono rinvenire sul piano istituzionale. In particolare, esso prevede la creazione di un Comitato Interistituzionale per la Cibersicurezza, con i compiti di monitorare l’implementazione del regolamento, vigilare sull’attuazione delle priorità e degli obiettivi generali da parte del CERT-EU ed imprimergli una direzione strategica.

Inoltre, proprio il CERT-EU acquisirà un ruolo ancora più centrale nel sistema di sicurezza cyber europeo. Infatti, proprio a questo verranno attribuiti nuovi compiti a supporto delle istituzioni, degli organi e delle agenzie europee, tra cui quello di riferire in merito alle minacce informatiche a cui questi soggetti saranno esposti e di contribuire all’unità congiunta per il ciberspazio, laddove sia realizzata.

Quest’ultima nasce da una raccomandazione della Commissione che ha suggerito di valutare la creazione di tale struttura al fine di fronteggiare l’aumento del numero di incidenti di cyber security gravi che colpiscono i servizi pubblici e la vita delle imprese e dei cittadini in tutta l’Unione europea, consentendo, così, un’integrazione della risposta coordinata dell’UE agli incidenti e alle crisi di cibersicurezza su vasta scala. Il CERT-EU contribuirebbe all’unità congiunta per il ciberspazio inter alia, per:

  1. la preparazione, il coordinamento in caso di incidente, lo scambio di informazioni e risposta alle crisi a livello tecnico relativamente a casi collegati alle istituzioni, agli organi e alle agenzie dell’Unione;
  2. la cooperazione operativa per quanto riguarda la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e per l’assistenza reciproca;
  3. l’attività di intelligence relativa alle minacce informatiche.

I doveri a carico di istituzioni, organi e agenzie UE

Infine, in aggiunta a quanto sopra, di notevole rilievo è anche l’introduzione di un dovere a carico di istituzioni, organi e agenzie europee di notifica al CERT-EU delle minacce informatiche, delle vulnerabilità, nonché degli incidenti significativi senza ingiustificato ritardo e, in ogni caso, non oltre 24 ore dopo esserne venuti a conoscenza.

Tale obbligo presenta profili in comune con quanto richiesto a livello europeo, attraverso la Direttiva NIS, agli operatori di servizi essenziali e a livello nazionale dalla normativa sul Perimetro di Sicurezza Nazionale Cibernetica, che, in maniera analoga, stabiliscono un dovere di comunicazione degli incidenti, prevedendo, però, nel caso del cosiddetto “Perimetro cyber”, tempistiche estremamente più stringenti (1 o 6 ore).

Conclusione

Appare evidente come siano sempre più numerosi gli attori europei e internazionali che, a fronte di un incremento delle attività ostili attraverso il cyberspazio, stiano provvedendo a tutelare i propri servizi e le funzioni essenziali attraverso l’incremento dei livelli di sicurezza cibernetica.

Ciò pare avvenire, peraltro, lungo delle direttrici di azione che convergono tra tutti i principali attori esaminati sia a livello nazionale, che europeo e internazionale, come, ad esempio, l’implementazione di misure di sicurezza comuni, la creazione di istituzioni che fungano da punto di contatto unico, l’introduzione di stringenti obblighi di notifica sugli incidenti subiti, fino alla formazione specifica di settore.

Un allineamento che – si spera – già nel breve periodo potrà porre le basi per un futuro ecosistema digitale delle istituzioni più sicuro, efficace e resiliente.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3