cybersicurezza

La Commissione europea ha partecipato all’esercitazione “Cyber Europe”, volta a testare la risposta agli attacchi informatici su vasta scala nel settore energetico europeo. L’esercitazione ha testato le capacità di coordinamento, cooperazione e gestione delle crisi al fine di valutare la resilienza del settore.

L’esercitazione paneuropea ha riunito 30 agenzie nazionali per la cibersicurezza, una serie di agenzie, organi e reti dell’UE e oltre 1 000 esperti provenienti da diversi settori, i cui campi d’azione spaziano dalla risposta agli incidenti al processo decisionale.

Thierry Breton, Commissario per il Mercato interno, ha dichiarato: “La cibersicurezza è una priorità comune. Solo nel 2023 più di 200 incidenti informatici segnalati riguardavano il settore dell’energia, e più della metà di questi erano specificamente diretti contro l’Europa. Le minacce alla cibersicurezza in settori critici possono avere ricadute sulla vita quotidiana dei cittadini, ma anche sulle imprese e sui servizi pubblici in tutta l’UE. Se vogliamo proteggere i cittadini dell’Unione, questo tipo di esercitazione è fondamentale per testare la resilienza in materia di cibersicurezza con tutti i principali partner.”

Kadri Simson, Commissaria per l’Energia, ha dichiarato: “Data la continua evoluzione delle minacce informatiche, è necessario dare priorità alle esercitazioni in materia di cibersicurezza. Queste misure proattive non solo rafforzano la volontà di difendersi da possibili attacchi informatici, ma sottolineano anche l’impegno a salvaguardia dei nostri sistemi. Con la crescente sofisticatezza delle reti intelligenti, anche la posta in gioco aumenta, in quanto i sistemi interconnessi diventano più sensibili alle minacce informatiche.”

A seguito dell’esercitazione, una relazione d’analisi fornirà orientamenti volti a rafforzare la resilienza del settore energetico dell’UE. Insieme agli Stati membri e alle istituzioni, agli organi e alle agenzie competenti dell’UE, la Commissione si adopera per aumentare la preparazione e rispondere al meglio a potenziali incidenti informatici su vasta scala.

Da un’indagine Eurobarometro pubblicata il 22 maggio emergono una crescente carenza di competenze informatiche, la necessità di un maggior numero di specialisti di cibersicurezza e la necessità di personale altamente sensibile alla cibersicurezza in tutte le imprese dell’UE. Questi risultati sono in linea con una recente relazione di previsione pubblicata dall’ENISA, l’Agenzia dell’UE per la cibersicurezza, in cui si osserva che la carenza di competenze informatiche sembra essere strettamente correlata con le minacce informatiche, il che rappresenta una grave problema sia per il funzionamento delle reti e dei sistemi informativi sia per il mercato unico nel suo complesso.

La Commissione ha intensificato gli sforzi per aumentare la consapevolezza e la visibilità delle iniziative relative alle competenze di cibersicurezza e per incrementare il numero di professionisti qualificati in detto settore

Quest’anno la Commissione ha stanziato 10 milioni di € a sostegno di progetti volti ad attuare programmi di formazione in competenze informatiche per le PMI, le start-up e il settore pubblico. L’importo totale investito dal 2021 in progetti e iniziative a sostegno delle competenze informatiche, insieme agli Stati membri e ai partner del settore privato, è salito a circa 600 milioni di €. Nuove opportunità di finanziamento saranno messe a disposizione nell’autunno 2024.

Oggi la Commissione ha invitato le imprese, le pubbliche amministrazioni e altre organizzazioni a presentare proposte volte a rafforzare la resilienza dell’UE di fronte alle minacce informatiche e la capacità di proteggere da questi attacchi individuandoli e scoraggiandoli, promuovendo altresì la cooperazione tra gli Stati membri.

La Commissione e il Centro europeo di competenza per la cibersicurezza hanno pubblicato un nuovo invito a presentare proposte, del valore totale di 71 milioni di € nell’ambito del programma di lavoro Europa digitale 2023-2024, a favore di azioni per la cibersicurezza volte a rafforzare a livello dell’UE la cooperazione operativa e le capacità comuni con gli Stati membri.

Di tale importo, 35 milioni di € saranno destinati all’istituzione del meccanismo per le emergenze di cibersicurezza, che sosterrà le azioni di preparazione e di assistenza reciproca degli Stati membri in caso di incidenti di cibersicurezza, come previsto anche dalla proposta di regolamento sulla cibersolidarietà. Al fine di rafforzare la cibersicurezza per le industrie, le giovani start-up e le piccole e medie imprese di tutta l’UE, 30 milioni di € sosterranno l’attuazione della direttiva NIS2 e della proposta di legge sulla ciberresilienza. Ulteriori azioni di sostegno da 6 milioni di € favoriranno il coordinamento tra le dimensioni civile e di difesa della cibersicurezza, come anche la partecipazione delle parti interessate in ambito di normazione. L’invito, aperto fino al 26 settembre 2023, è rivolto ai soggetti degli Stati membri dell’UE e dei paesi EFTA/SEE.

L’invito precedente è stato inoltre riaperto fino al 6 luglio 2023 allo scopo di offrire ulteriori possibilità, per uno stanziamento totale rimanente di 36,5 milioni di €. L’invito è incentrato sui seguenti obiettivi tematici: resilienza, coordinamento e poligoni virtuali (3,4 milioni di €), rafforzamento delle capacità dei centri operativi di sicurezza (26,3 milioni di €) e adozione di soluzioni innovative per la cibersicurezza (6,8 milioni di €).

La Commissione accoglie con favore l’accordo politico raggiunto oggi dal Parlamento europeo e dagli Stati membri dell’UE sulla direttiva relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2) proposta dalla Commissione nel dicembre 2020.

Le vigenti norme per la sicurezza delle reti e dei sistemi informativi (direttiva NIS) sono state il primo atto legislativo a livello dell’UE sulla cibersicurezza e hanno spianato la strada a un significativo cambiamento della mentalità e dell’approccio istituzionale e normativo alla cibersicurezza in molti Stati membri. Nonostante gli importanti risultati conseguiti e il loro impatto positivo, è stato necessario aggiornarle a causa del crescente grado di digitalizzazione e interconnessione della nostra società e dell’aumento del numero di attività informatiche dolose a livello mondiale.

Per far fronte a una maggior esposizione alle minacce informatiche in Europa, la direttiva NIS 2 disciplina i soggetti di medie e grandi dimensioni che operano in diversi settori cruciali per l’economia e la società, tra cui i fornitori di servizi pubblici di comunicazione elettronica, i servizi digitali, il trattamento delle acque reflue e la gestione dei rifiuti, la fabbricazione di prodotti essenziali, i servizi postali e di corriere e la pubblica amministrazione ma, alla luce delle sempre più numerose minacce alla sicurezza emerse durante la pandemia di COVID-19, regolamenta anche più ampiamente il settore sanitario, includendo ad esempio i fabbricanti di dispositivi medici. Con un ambito di applicazione più vasto grazie alle nuove norme che obbligheranno un maggior numero di soggetti e settori a prendere misure di gestione dei rischi di cibersicurezza, la direttiva contribuirà ad aumentare il livello di cibersicurezza in Europa nel medio e lungo termine.

La direttiva NIS 2 rende anche più rigorosi i requisiti di sicurezza imposti alle imprese, tratta della sicurezza delle catene di fornitura e delle relazioni con i fornitori e prevede che l’alta dirigenza sia ritenuta responsabile in caso di mancato rispetto degli obblighi in materia di cibersicurezza; semplifica gli obblighi di notifica, introduce misure di vigilanza più rigorose per le autorità nazionali e obblighi di esecuzione più severi e intende armonizzare i regimi sanzionatori in tutti gli Stati membri. La direttiva contribuirà ad aumentare la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale e dell’UE.

L’accordo politico raggiunto dal Parlamento europeo e dal Consiglio è ora soggetto all’approvazione formale dei due colegislatori. Una volta pubblicata nella Gazzetta ufficiale dell’UE, la direttiva entrerà in vigore 20 giorni dopo e gli Stati membri la dovranno poi recepire nel diritto nazionale. Gli Stati membri avranno 21 mesi per recepire la direttiva nei rispettivi ordinamenti giuridici nazionali.

La cibersicurezza è una delle principali priorità della Commissione e il fondamento di un’Europa digitale e connessa.

La prima normativa dell’UE sulla cibersicurezza, la direttiva NIS, entrata in vigore nel 2016, ha contribuito a conseguire un livello comune elevato di sicurezza delle reti e dei sistemi informatici in tutta l’UE. Nel dicembre 2020 la Commissione ne ha proposto la revisione nell’ambito dell’obiettivo strategico principale di rendere l’Europa pronta per l’era digitale. Il regolamento dell’UE sulla cibersicurezza, in vigore dal 2019, ha apportato all’Europa un quadro di certificazione della cibersicurezza per prodotti, servizi e processi, rafforzando anche il mandato dell’Agenzia dell’UE per la cibersicurezza (ENISA).

Fonte: Commissione europea

Inizierà il primo ottobre la nona edizione del mese europeo della cibersicurezza, che durerà per tutto il mese all’insegna del motto “Think Before U Click”. Si tratta di una campagna annuale di sensibilizzazione organizzata dalla Commissione, dall’Agenzia dell’Unione europea per la cibersicurezza (ENISA) e da oltre 300 partner negli Stati membri, tra cui autorità locali, governi, università, gruppi di riflessione, ONG e associazioni professionali.

Quest’anno si svolgeranno in tutta Europa centinaia di attività, quali conferenze, seminari, sessioni di formazione, presentazioni, webinar e campagne online per promuovere la cibersicurezza tra i cittadini e le organizzazioni e per fornire informazioni aggiornate sulla sicurezza online attraverso la sensibilizzazione e la condivisione delle buone pratiche.

La consapevolezza informatica è uno degli aspetti fondamentali della strategia dell’UE per la cibersicurezza, annunciata a dicembre dello scorso anno. Il materiale di sensibilizzazione è disponibile sul sito web dedicato. E’ possibile seguire la campagna su Twitter @CyberSecMonth con gli hashtag #CyberSecMonth #ThinkB4Uclick, e su Facebook @CyberSecMonthEU.