BRUXELLES – A poco meno di un anno dalla proposta della Commissione Europea, il 7 gennaio è entrato in vigore il nuovo regolamento per la sicurezza informatica in UE. Il 13 dicembre i co-legislatori, Parlamento Europeo e Consiglio Europeo, avevano firmato per i nuovi standard nelle istituzioni, negli organi e nelle agenzie dell’UE (EUIBA).
Le nuove norme daranno slancio a ciascuna entità dell’Unione per sviluppare e coltivare una mentalità di sicurezza informatica, sin dalla progettazione delle loro attività. Istituiranno anche un nuovo comitato interistituzionale per la cybersecurity (IICB), per monitorare e implementare l’attuazione delle linee guida.
La cybersecurity è un processo, non un prodotto, per questo motivo l’Unione Europea ha intrapreso uno sforzo costante di adattamento e vigilanza delle reti. Un’azione intensificata dallo scoppio delle ostilità tra la Russia e l’Ucraina, e che sarà decisiva in vista delle elezioni europee di giugno.
“Le minacce informatiche stanno diventando sempre più pervasive e gli aggressori informatici sono sempre più sofisticati. Il raggiungimento di un elevato livello comune di sicurezza informatica in tutte le entità dell’Unione è fondamentale per garantire una pubblica amministrazione dell’UE aperta, efficiente, sicura e resiliente“
— Johannes Hahn, Commissario al Bilancio e all’Amministrazione
Tra le novità c’è l’estensione del mandato del CERT-EU (Computer Emergency Response Team) che, d’ora in poi, non sarà solo l’istituzione europea che si occupa di reagire tempestivamente agli attacchi informatici, ma diverrà a tutti gli effetti un centro di intelligence sulle minacce, lavorando fianco a fianco con l’ENISA, l’Agenzia Europea per la Sicurezza Informatica.
Il CERT-EU nasce nel 2011 come entità interistituzionale governata da un Consiglio di amministrazione presieduto dal Parlamento Europeo. Ha sede a Bruxelles presso la Direzione Generale dell'Informatica della Commissione Europea. Finora la sua funzione principale era coordinare la risposta agli incidenti di sicurezza informatica e garantire lo scambio di informazioni tra le istituzioni, gli organi e le agenzie UE. Diventerà un centro di intelligence sulle minacce. Ogni anno partecipa alle esercitazioni informatiche Cyber Europe e Locked Shields.
Gli elementi chiave di cambiamento per le istituzioni, gli organi e le agenzie dell’UE (EUIBA):
- disporre di un quadro chiaro per la governance, il controllo della sicurezza informatica e la gestione dei rischi;
- mettere in atto piani per migliorare la propria sicurezza informatica;
- implementare misure di sicurezza informatica che affrontino i rischi identificati;
- condividere in modo tempestivo con il CERT-EU le informazioni sugli incidenti;
- condurre valutazioni periodiche sugli sviluppi.
Link utili per approfondire il tema:
ENISA European Union Agency for Cybersecurity
CCDCOE Nato Cooperative Cyber Defence Centre of Excellence
FIRST Global Forum of Incident Response and Security Teams
TF-CSIRT Trusted Introducer Service
