Il Parlamento Europeo ha approvato in prima lettura, con emendamenti, il 29 aprile 2024, la proposta di Regolamento sulla cibersolidarietà (Cyber solidarity act), che stabilisce misure volte a rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi.
L’approvazione da parte del Parlamento del testo della proposta, segue al trilogo tra Parlamento UE e Consiglio, formalizzato con lettera del 21 marzo 2024, con cui il Consiglio UE si impegnava approvare la posizione del Parlamento sulla proposta di Regolamento in oggetto.
Il Cyber Solidarity Act è volto principalmente a:
- sostenere l’individuazione e la consapevolezza di minacce e incidenti di cybersicurezza significativi o su larga scala
- rafforzare la preparazione e proteggere le entità critiche e i servizi essenziali, come gli ospedali e le aziende di pubblica utilità
- rafforzare la solidarietà a livello europeo, la gestione concertata delle crisi e le capacità di risposta degli Stati membri
- contribuire a garantire un ambiente digitale sicuro e protetto per i cittadini e le imprese.
Per individuare in modo rapido ed efficace le principali minacce informatiche, il Regolamento istituisce un sistema di allerta per la sicurezza informatica, ovvero un’infrastruttura europea composta da centri informatici nazionali e transfrontalieri in tutta l’UE, incaricata di condividere le informazioni, nonché di rilevare e agire sulle minacce informatiche.
Il nuovo Regolamento sulla cibersolidarietà prevede anche la creazione di un meccanismo di emergenza per la sicurezza informatica, al fine di aumentare la preparazione e migliorare le capacità di risposta agli incidenti nell’UE.
Il meccanismo sosterrà azioni preventive, tra cui:
- la verifica di potenziali vulnerabilità di entità in settori altamente critici (sanità, trasporti, energia, ecc.), sulla base di scenari di rischio e metodologie comuni
- una nuova “riserva di cybersicurezza” (cybersecurity reserve), costituita da servizi di risposta agli incidenti da parte del settore privato, pronti a intervenire su richiesta di uno Stato membro o di istituzioni, organi e agenzie dell’UE, nonché di Paesi terzi associati, in caso di incidente di sicurezza informatica significativo o su larga scala
- assistenza reciproca in termini finanziari
Infine, il Regolamento stabilisce un meccanismo di valutazione e revisione per valutare, tra l’altro, l’efficacia delle azioni nell’ambito del meccanismo di emergenza informatica e l’uso della riserva per la sicurezza informatica, nonché il contributo del Regolamento al rafforzamento della posizione competitiva dei settori dell’industria e dei servizi.
Il testo del Regolamento passa ora all’esame del Consiglio UE, quindi, qualora approvato senza modifiche, entrerà in vigore decorsi 20 giorni dalla pubblicazione nella Gazzetta Ufficiale dell’Unione Europea.