Articoli

I sistemi informatici e di rete sono oggi caratterizzati da un veloce processo di sviluppo, che influisce in modo trasversale su tutti gli ambiti della nostra società, tanto sul piano culturale quanto su quello economico. La trasformazione digitale non riguarda solo l’integrazione di nuove tecnologie, ma anche la riorganizzazione dei modelli organizzativi e il miglioramento delle competenze per promuovere l’innovazione e salvaguardare il patrimonio informativo delle organizzazioni. In questo contesto, una solida gestione della cybersecurity e una strategia dei dati ben strutturata sono fondamentali. Per una corretta gestione della cybersecurity, è necessario considerare diversi aspetti chiave: innanzitutto, effettuare regolarmente valutazioni approfondite dei rischi per identificare le vulnerabilità e assegnare loro una priorità in base all’impatto potenziale, in quanto l’implementazione di un quadro proattivo di gestione del rischio aiuta ad anticipare e mitigare le minacce prima che si concretizzino; in secondo luogo, sviluppare e applicare politiche di sicurezza che coprano tutti gli aspetti dell’organizzazione, dalla crittografia dei dati ai controlli di accesso, dalla formazione dei dipendenti ai protocolli di risposta agli incidenti.

Queste politiche devono essere aggiornate regolarmente per adattarsi all’evoluzione delle minacce, oggi amplificate dall’uso crescente dell’intelligenza artificiale, che richiede risposte adeguate, coordinate e innovative in tutti gli Stati membri dell’Unione europea. Il numero, la portata, il livello di sofisticazione, la frequenza e l’impatto degli incidenti rappresentano, infatti, per i cittadini e le imprese un grave rischio per il funzionamento dei sistemi informatici, perché possono impedire l’esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia e alla società. Come rilevato dal recente “Cisco Cybersecurity Readiness Index 2024”, soltanto l’1% delle aziende italiane ha un livello di preparazione alla sicurezza “maturo”, necessario per essere resiliente contro i rischi odierni di cybersecurity, mentre il 63% degli intervistati ha dichiarato che un attacco informatico sarebbe in grado di interrompere la loro attività nei prossimi 12-24 mesi.

Pertanto, nel mondo digitale interconnesso di oggi, la cybersecurity rimane una priorità assoluta per tutti i settori. Poiché le tecnologie e le minacce informatiche diventano sempre più sofisticate, è richiesta, oltre ad un approccio proattivo, una profonda comprensione dei trend emergenti per non farsi trovare impreparati. In questo contesto, come detto, l’intelligenza artificiale (AI) sta rivoluzionando vari settori, compreso quello della cybersecurity. I grandi benefici introdotti dall’AI permettono ai cybercriminali di lanciare attacchi più mirati, che possono evadere le misure di sicurezza tradizionali rendendo più impegnativo il rilevamento e la mitigazione dei rischi. Le organizzazioni devono quindi investire in soluzioni di sicurezza avanzate per rilevare e rispondere in modo efficace alle minacce emergenti.

Su questo ampio ventaglio di problematiche e sul nuovo framework normativo messo a punto dalla UE in materia di cybersecurity è in corso un approfondito dibattito da parte dei numerosi soggetti, nazionali ed europei, impegnati a dialogare sulle strategie più efficaci per rafforzare la resilienza cibernetica. Ne è un esempio, tra gli altri, il convegno su “Cybersicurezza e politiche di coesione”, svoltosi a Roma il 25 marzo scorso, su iniziativa dello European Digital Innovation Hub MicroCyber con il coordinamento dell’Ente Nazionale per il Microcredito, che ha visto la partecipazione di esponenti apicali del mondo politico ed istituzionale. Tale evento ha rappresentato una preziosa occasione di confronto che ha fatto emergere l’opportunità di instaurare sinergie a livello nazionale ed europeo per lo sviluppo di politiche volte al rafforzamento della resilienza cyber, tanto del tessuto produttivo quanto di quello della pubblica amministrazione, nonché all’ingegnerizzazione dei relativi strumenti e servizi finanziari rivolti a imprese e pubblica amministrazione.

Il rapporto tra politiche di coesione, cybersicurezza e digitalizzazione per favorire competitività, crescita e resilienza cibernetica delle imprese italiane ed europee ha rappresentato il filo conduttore del convegno, unitamente ad altri temi di fondamentale importanza, quali la necessità di incrementare le attività di formazione per consentire la reazione e la prevenzione di attacchi informatici, il sostegno della ricerca in ambito cyber per rendere le imprese europee più competitive sul mercato globale in materia di cybersicurezza e aumentare la resilienza del mercato digitale, nonché la necessità di utilizzare l’intelligenza artificiale in modo “benevolo”, al fine cioè di contrastare l’uso “malevolo” che della stessa AI viene fatto da parte dei cybercriminali.

Ne hanno parlato diffusamente Tommaso Foti, Ministro per gli Affari Europei, il PNRR e le Politiche di Coesione, Luca Tagliaretti, direttore esecutivo dello European Cybersecurity Competence Centre, Bruno Frattasi, DG dell’Agenzia per la Cybersicurezza Nazionale, Franco Zaffini, Presidente della X Commissione Salute e Lavoro e Presidente delle Commissioni riunite sull’intelligenza artificiale, Eva Spina, Capo Dipartimento per il digitale, la connettività e le nuove tecnologie del MIMIT, Ivano Gabrielli, direttore del servizio Polizia Postale e delle Comunicazioni, Despina Spanou, Principal Adviser for Cybersecurity Coordination (DG Connect) della Commissione europea. Il punto di vista dell’Ente Nazionale per il Microcredito che, come detto, ha coordinato lo svolgimento dell’evento, è stato portato dal Presidente Mario Baccini, dal Segretario Generale Riccardo Graziano e dal Vice Segretario Generale Giovanni Nicola Pes.

Come ricordato in particolare da Despina Spanou, di fronte alla complessità delle problematiche da affrontare, l’UE ha avvertito la necessità di armonizzare un quadro giuridico teso a rafforzare la sicurezza informatica, al fine di supportare i soggetti maggiormente vulnerabili alle minacce cyber, potenziandone le competenze per consentire loro di beneficiare dei vantaggi offerti dalla tecnologia e migliorare nel contempo la competitività sul mercato. In particolare, negli ultimi mesi sono stati adottati a livello europeo alcuni importanti provvedimenti, che delineano un approccio più integrato e ambizioso per la protezione dell’ecosistema digitale europeo, in un contesto geopolitico sempre più complesso e caratterizzato da minacce ibride e persistenti. Si tratta, in particolare, della pubblicazione del Cyber Resilience Act e del Cyber Solidarity Act, nonché della recente entrata in vigore della nuova Direttiva NIS 2 che, abrogando la precedente Direttiva NIS 1, ne ha ampliato in modo significativo il raggio d’azione. Inoltre, è da segnalare che, nel febbraio di quest’anno, è stata formulata la proposta di Cybersecurity Blueprint della Commissione europea, per la gestione coordinata delle crisi cyber.

Va ribadita, pertanto, l’attenzione con la quale la Commissione europea segue i problemi della cybersecurity e degli attacchi cibernetici, che spesso sono legati anche a problemi politici. La Commissione, infatti, ha come priorità la protezione delle infrastrutture critiche e fornisce supporto finanziario per aiutare i soggetti interessati ad adeguarsi alle nuove regole in materia di cybersecurity, soprattutto con riferimento ai settori maggiormente colpiti dagli attacchi.

Ciò premesso, si fornisce di seguito un quadro analitico delle normative europee emanate o in corso di emanazione in materia di cybersicurezza.

Le Direttive NIS (Security of Network and Information systems)

La Direttiva NIS 1¹, entrata in vigore il 16 luglio 2016, è stata il primo atto legislativo dell’Unione europea in materia di cybersecurity, con l’obiettivo di accrescere la collaborazione transfrontaliera, armonizzare le competenze professionali e rafforzare il controllo dei settori critici. Tale Direttiva ha rappresentato il primo tentativo di determinare una base di garanzie destinate a sviluppare un ecosistema di fiducia, soprattutto per quelle aziende che forniscono servizi essenziali per il mantenimento di attività sociali ed economiche fondamentali dipendenti dalla rete e dai sistemi informativi e per i quali un incidente informatico può avere effetti negativi rilevanti.

I settori che rientravano nell’ambito di applicazione della direttiva NIS 1 riguardavano l’energia, i trasporti, le banche, i mercati finanziari, la sanità, la fornitura e la distribuzione di acqua potabile, le infrastrutture digitali, i motori di ricerca, i servizi cloud e le piattaforme di commercio elettronico, con la possibilità per gli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche ad altri settori.
In attuazione della NIS 1, gli Stati membri hanno definito piani di ricerca e sviluppo relativi alla strategia da adottare, avvalendosi anche dell’assistenza dell’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) che, grazie proprio al dettato della NIS 1, ha visto accresciuto il proprio ruolo. L’ENISA, infatti, oltre ad aiutare i Paesi dell’Unione ad affrontare le questioni comuni di cybersicurezza e a concordare gli approcci e le procedure comuni da seguire, ha individuato buone pratiche per quanto riguarda l’attuazione della Direttiva NIS 1, sviluppando modelli e strumenti atti a tale scopo.

Nonostante i positivi risultati raggiunti, sono state evidenziate delle carenze intrinseche alla Direttiva in questione, che non hanno consentito di affrontare efficacemente le sfide emergenti in materia di cybersicurezza. Pertanto, vista la crescita esponenziale degli attacchi informatici, soprattutto a partire dagli ultimi mesi del 2022, si è reso necessario aggiornare la normativa NIS al fine di ampliarne il campo di applicazione e preparare le aziende alle sfide attuali e future della sicurezza. È stata così emanata la nuova Direttiva NIS 2² entrata in vigore il 16 gennaio 2023 e recepita a livello nazionale italiano con il decreto legislativo n. 138 del 2024 che, come ricordato dal direttore dell’ACN Bruno Frattasi, “assicura a ciascun Paese della UE un sistema di continuità operativa, in grado di garantire una serie di servizi straordinariamente importanti per la nostra vita”.

Rispetto alla NIS 1, la Direttiva NIS 2 ha ampliato la platea dei soggetti destinatari, eliminando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi digitali e introducendo la distinzione tra “soggetti essenziali” e “soggetti importanti”, la cui identificazione, con criteri uniformi, è riservata agli Stati membri. In queste categorie rientrano tutti i soggetti che operano nei settori ad alta criticità (energia, trasporti, banche, infrastrutture digitali, pubblica amministrazione, ecc.) e in altri settori critici (servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, ecc.). Allo stesso tempo, la NIS 2 ha escluso dal suo campo di applicazione i soggetti che operano nei settori della sicurezza nazionale, oltre che i Parlamenti e le banche centrali, ed ha introdotto un approccio “multirischio” nell’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete, che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi.

Inoltre, la Direttiva NIS 2:

• ha istituito una rete europea delle organizzazioni di collegamento per le crisi informatiche, al fine di sostenere la gestione coordinata degli incidenti informatici su larga scala;
• ha rafforzato gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e al CSIRT (Computer Security Incident Response Team);
• ha definito un sistema di vigilanza più rigoroso per la sicurezza informatica ed ha introdotto un regime sanzionatorio più severo per i soggetti inadempienti.

Pertanto, in base alla nuova Direttiva, le infrastrutture critiche e i servizi essenziali importanti dovranno mantenere un registro delle vulnerabilità, cooperare con gli Stati europei alla gestione delle crisi informatiche; redigere una relazione annuale sullo stato della cybersecurity; creare e gestire un report di tutte le entità che forniscono servizi transfrontalieri come cloud computing, registrazioni di nomi a dominio e altro ancora; mantenere aggiornate le loro strategie informatiche; istituire un gruppo di intervento per la cybersecurity in caso di incidente, nonché di un’autorità competente per le reti e i sistemi informativi nazionali che cooperino tra tutti gli Stati membri.

Come previsto dall’art. 18 della Direttiva NIS 2, l’ENISA ha pubblicato nel mese di ottobre 2024 il primo rapporto biennale sullo stato della sicurezza informatica nell’UE, analizzando lo stato attuale delle capacità di cybersicurezza a livello di Unione, esaminando i rischi, le vulnerabilità e le strategie adottate, con l’obiettivo di formulare raccomandazioni volte a eliminare le lacune individuate e a innalzare il livello di sicurezza informatica in tutta l’Unione. In tale contesto, giova ricordare il ruolo svolto dallo European Cybersecurity Competence Centre, il cui direttore esecutivo Luca Tagliaretti ha offerto una visione d’insieme sulle politiche europee e sulle iniziative volte a supportare la crescita di un ecosistema di cybersicurezza forte e integrato a livello comunitario. In particolare, Tagliaretti ricorda che “l’ECCC nasce con tre obiettivi: sostenere la ricerca in ambito cyber, rendere le imprese europee più competitive sul mercato globale in materia di cybersicurezza e aumentare la resilienza del mercato digitale”. Per il raggiungimento di questi obiettivi, lo stesso Centro di competenza opera con una serie di fondi e un’attività di sistema, mettendo insieme attori europei e nazionali.

A fronte di uno scenario caratterizzato da un aumento considerevole degli attacchi informatici, legato principalmente all’acuirsi delle tensioni geopolitiche ed economiche nell’Europa dell’Est e nel Medio Oriente, il citato rapporto ENISA suggerisce una serie di raccomandazioni politiche per potenziare la capacità degli operatori di settori critici, aumentare la consapevolezza sulla sicurezza informatica e migliorare le difese. In particolare, il report segnala la necessità di:

• rafforzare il sostegno tecnico e finanziario alle istituzioni europee, alle autorità nazionali e alle entità che rientrano nel perimetro di applicazione della NIS 2;
• affrontare la sicurezza della supply chain nell’UE, intensificando le valutazioni dei rischi e sviluppando un framework comune che affronti le sfide che affliggono sia il settore pubblico sia quello privato.

Sempre sulla base di quanto previsto dalla Direttiva NIS 2, il 17 ottobre 2024 la Commissione ha adottato il Regolamento di esecuzione³ della Direttiva stessa, che descrive i requisiti tecnici e metodologici per la gestione del rischio legato alla cybersecurity e specifica i criteri per stabilire quando un incidente può essere considerato significativo o essenziale e garantire che le entità coperte dalla Direttiva NIS 2 adottino misure tecniche e metodologiche per la gestione del rischio informatico. Queste misure devono essere proporzionate ai rischi a cui le entità sono esposte e tenere conto di vari fattori, come la dimensione dell’entità, la probabilità che si verifichino incidenti e la gravità di tali eventi, inclusi gli impatti sociali ed economici.

Uno degli elementi fondamentali del Regolamento è la possibilità, per le piccole e medie imprese, di implementare misure compensative nel caso in cui non riescano ad applicare completamente alcuni requisiti tecnici o metodologici. Questo garantisce una certa flessibilità nell’applicazione delle norme, purché le entità documentino adeguatamente le ragioni per cui certe misure non sono state applicate e adottino soluzioni alternative per mitigare i rischi.

Un altro aspetto chiave riguarda la definizione di ciò che costituisce un “incidente significativo”. In particolare, un incidente è considerato significativo quando sono soddisfatti uno o più di questi criteri: (i) l’incidente ha causato o è in grado di causare un danno finanziario diretto all’entità interessata superiore a 500mila euro o al 5 % del fatturato totale annuo dell’entità interessata nell’esercizio finanziario precedente, se inferiore; (ii) la “esfiltrazione” di segreti commerciali; (iii) il decesso di una persona fisica; (iv) danni considerevoli alla salute di una persona fisica.

In conclusione, il Regolamento rappresenta un passo importante per rafforzare la sicurezza informatica in Europa, offrendo una base normativa chiara e armonizzata per l’implementazione della Direttiva NIS 2. Attraverso un approccio proporzionato e flessibile, il Regolamento tiene conto delle diverse dimensioni e delle caratteristiche delle entità coperte, assicurando che esse adottino misure adeguate alla loro esposizione al rischio.

Il Cyber Resilience Act

Tenuto conto che i prodotti hardware e software sono sempre più soggetti ad attacchi informatici che causano costi sociali ed economici significativi, il 23 ottobre 2024 il Consiglio europeo ha approvato in via definitiva il Cyber Resilience Act (CRA)⁴, mirando al conseguimento dei seguenti obiettivi principali:

1. garantire che i produttori migliorino gli standard di sicurezza dei prodotti digitali fin dalla fase di progettazione e sviluppo e durante l’intero ciclo di vita;
2. costituire un quadro di sicurezza informatica coerente all’interno dell’Unione, facilitando la conformità dei prodotti hardware e software;
3. innalzare il livello di trasparenza richiedendo ai produttori di fornire agli utenti informazioni chiare e comprensibili sulle pratiche di sicurezza adottate.

Il Cyber Resilience Act, al fine di proteggere i consumatori e le aziende che acquistano prodotti software o hardware con una componente digitale, affronta il livello inadeguato di sicurezza informatica in molti prodotti e la mancanza di aggiornamenti di sicurezza tempestivi per prodotti e software, nonché le sfide che i consumatori e le aziende devono affrontare quando devono individuare i prodotti sicuri dal punto di vista informatico e configurarli in modo sicuro.

Il CRA introduce requisiti obbligatori di sicurezza informatica per produttori e rivenditori, regolando la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti. Questi obblighi devono essere rispettati in ogni fase della catena del valore. Il CRA richiede inoltre ai produttori di fornire assistenza durante il ciclo di vita dei loro prodotti. Alcuni prodotti critici di particolare rilevanza per la sicurezza informatica dovranno essere sottoposti a una valutazione di terze parti da parte di un organismo autorizzato prima di essere venduti nel mercato UE.

Affinché i prodotti immessi sul mercato europeo siano progettati e fabbricati in modo sicuro, il CRA classifica tali prodotti in “importanti” e “critici”, introducendo i seguenti requisiti sulla base della loro classificazione:

• requisiti di sicurezza: i produttori devono progettare prodotti sicuri (security by design) e devono mantenere tali standard per tutto il loro ciclo di vita;
• gestione delle vulnerabilità: i produttori hanno l’obbligo di monitorare, identificare e risolvere eventuali vulnerabilità, fornendo aggiornamenti di sicurezza tempestivi per proteggere i dispositivi dalle minacce emergenti;
• requisiti di trasparenza: i produttori devono fornire agli utenti informazioni chiare e dettagliate sulle pratiche di sicurezza adottate;
• dichiarazione di conformità: i fabbricanti devono attestare il rispetto dei requisiti essenziali di cybersicurezza applicabili;
• notifica di incidenti: in caso di attacco o vulnerabilità grave, i produttori sono tenuti a informare tempestivamente le autorità competenti.

A tale riguardo, è rilevante quanto affermato dal Presidente dell’Ente Nazionale per il Microcredito Mario Baccini nel corso del richiamato convegno del 25 marzo scorso, relativamente al sostegno che viene fornito dagli European Digital Innovation Hub ai diversi attori economici italiani ed europei, per facilitare l’adozione delle migliori pratiche in materia di cybersicurezza. Con specifico riferimento alle micro e piccole imprese, Baccini ricorda come l’Ente Nazionale per il Microcredito, con il Polo MicroCyber, fornisca assistenza a tali imprese per l’adozione di strumenti cyber, essenziali per la competitività. Allo stesso tempo, come affermato dal Ministro Foti, è fondamentale il ruolo del MIMIT nel promuovere la digitalizzazione sicura e coordinata del sistema produttivo nazionale, ed è altresì decisivo sviluppare l’attività di formazione come elemento essenziale per consentire la reazione e la prevenzione degli attacchi informatici.

Il Cyber Resilience Act si applica a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, fatta eccezione per esclusioni specifiche, come determinati software o servizi open source già coperti da norme esistenti, come nel caso dei dispositivi medici, dell’aviazione e delle automobili. I prodotti recheranno la marcatura CE per indicare che sono conformi ai requisiti CRA. Le nuove norme riequilibreranno la responsabilità nei confronti dei produttori e ciò consentirà agli acquirenti di prendere decisioni più consapevoli, acquisendo fiducia sulla sicurezza informatica dei prodotti con marchio CE.
Il Cyber Resilience Act si applicherà dall’11 dicembre 2027, fatta eccezione per l’art. 14 (Obblighi di segnalazione delle vulnerabilità del prodotto digitale da parte dei fabbricanti) che si applicherà dall’11 settembre 2026 e il Capo IV (articoli 35-51 sulla notifica degli organismi di valutazione della conformità) che troverà applicazione dall’11 giugno 2026. Inoltre, è in fase di costituzione il Cyber Resilience Act Expert Group (CRA Expert Group), che assisterà la Commissione su questioni rilevanti per l’implementazione del Cyber Resilience Act.

Il Cyber Solidarity Act

Il 15 gennaio 2025 ha segnato una nuova data importante per la cybersicurezza europea, con la pubblicazione del Cyber Solidarity Act⁵. Questo nuovo framework normativo, entrato in vigore il 4 febbraio 2025, rappresenta una risposta concreta all’incremento esponenziale delle minacce informatiche nel contesto europeo. La necessità di questo atto nasce dalla crescente interconnessione delle infrastrutture digitali europee e dalla consapevolezza che la sicurezza informatica non può più essere gestita efficacemente a livello puramente nazionale, in quanto il contesto attuale è caratterizzato da un incremento allarmante sia nella frequenza che nella sofisticazione degli attacchi informatici. Le minacce non si limitano più al tradizionale furto di dati sensibili, ma si estendono a scenari più critici, che includono il sabotaggio di infrastrutture essenziali come reti energetiche e strutture sanitarie.

Sul problema del forte tasso di internazionalizzazione del crimine cibernetico, un importante contributo viene offerto da Ivano Gabrielli, direttore del servizio Polizia Postale e delle Comunicazioni, in possesso di una specifica competenza sulle relative strategie di contrasto adottate dalle forze dell’ordine. Per Gabrielli, il fenomeno degli attacchi cibernetici, oggi, non va letto solo dal punto di vista quantitativo, ma soprattutto da quello qualitativo perché, mentre il numero degli attacchi rimane sostanzialmente invariato negli ultimi anni, viene registrato un aumento della qualità criminale di tali attacchi. “A fronte di questa attività criminale – sostiene Gabrielli – la semplice cooperazione a livello europeo, ancorché fondamentale, non è più sufficiente: occorre arrivare a costruire forme di cooperazione globale, per poter svolgere attività investigative efficaci a livello internazionale. Senza questa internazionalizzazione delle capacità operative delle forze di polizia, ci troveremo disarmati di fronte a una criminalità che, invece, ha travalicato da tempo i confini nazionali”.

A causa dell’interconnessione delle infrastrutture digitali moderne, un attacco in un singolo Stato membro può rapidamente propagarsi attraverso i confini nazionali, creando effetti a cascata su scala continentale. Proprio questa realtà ha reso evidente l’inadeguatezza di approcci puramente nazionali alla cybersicurezza e ha catalizzato lo sviluppo del Cyber Solidarity Act come risposta coordinata e integrata a livello europeo.

Il punto centrale di questo Regolamento è rappresentato dalla creazione di una rete paneuropea di poli informatici, progettata per sviluppare capacità coordinate di rilevamento e risposta alle minacce cyber. Si tratta di un sistema che introduce un approccio innovativo basato sulla cooperazione volontaria tra Stati membri, dove ogni paese partecipante designa un polo informatico nazionale che funge da punto di riferimento per la condivisione di informazioni e competenze. La particolarità di questo sistema risiede nella sua struttura a rete, che prevede la creazione di poli informatici transfrontalieri, composti da almeno tre Stati membri, favorendo così una risposta coordinata e più efficace alle minacce informatiche.

Il Regolamento istituisce un meccanismo per le emergenze di cybersicurezza, introducendo un sistema altamente strutturato di risposta alle minacce, secondo un approccio flessibile che massimizza l’efficienza delle risorse e garantisce un costante stato di prontezza operativa. Tale sistema opera su tre livelli distinti di intervento:

• il primo livello comprende le azioni di preparazione, che includono la verifica coordinata della preparazione dei soggetti operanti in settori ad alta criticità;
• il secondo livello prevede protocolli specifici per la gestione delle richieste di supporto, che devono essere processate entro 48 ore dalla presentazione;
• infine, il terzo livello consiste nell’introduzione di servizi “pre-impegnati”, che possono essere convertiti in servizi di preparazione quando non utilizzati per la risposta agli incidenti.

Un aspetto fondamentale e innovativo del Cyber Solidarity Act è l’enfasi posta sulla cooperazione transfrontaliera come elemento chiave per rafforzare la resilienza informatica dell’Unione Europea. Il Regolamento, infatti, introduce un modello di cooperazione multilaterale che va oltre i tradizionali accordi bilaterali tra Stati membri, creando un ecosistema di collaborazione più ampio e integrato. Altri elementi cruciale del Regolamento riguardano la struttura di governance, che prevede tra l’altro il ruolo centrale assunto dall’ENISA nella gestione operativa della riserva UE per la cybersicurezza e l’introduzione dei Rapid Reaction Teams (RRT), vale a dire unità specializzate che rappresentano l’avanguardia della risposta operativa europea agli incidenti informatici. Il Regolamento pone particolare enfasi anche sullo sviluppo delle competenze nel settore della cybersicurezza, riconoscendo l’urgente necessità di colmare il divario di competenze esistente, con particolare attenzione alla riduzione del divario di genere nella forza lavoro del settore.

Le aziende, specialmente quelle che operano in settori critici, dovranno adeguare strutture e processi per allinearsi ai nuovi requisiti di sicurezza e cooperazione. L’implementazione del Cyber Solidarity Act rappresenta una sfida significativa che richiederà un impegno sostanziale da parte di tutti gli attori coinvolti. La vera efficacia del Regolamento dipenderà dalla capacità di tradurre le disposizioni normative in azioni concrete e dalla volontà degli Stati membri di collaborare attivamente.

La proposta di Cybersecurity Blueprint

Un’ulteriore iniziativa volta a garantire una risposta efficace ed efficiente agli incidenti informatici su vasta scala è rappresentata dalla “Proposta di Raccomandazione del Consiglio relativa a un programma dell’UE sulla gestione delle crisi di cibersicurezza”, presentata dalla Commissione il 24 febbraio scorso⁶. Tale proposta aggiorna il quadro globale dell’UE per la gestione delle crisi di cybersicurezza e mappa i pertinenti attori dell’UE, delineandone il ruolo durante l’intero ciclo di vita della crisi. Ciò comprende la preparazione e la conoscenza situazionale condivisa per anticipare gli incidenti informatici e le capacità di rilevamento necessarie per identificarli, compresi gli strumenti di risposta e recupero necessari per attenuare, scoraggiare e contenere tali incidenti.

Al riguardo Despina Spanou della Commissione europea, nel corso dell’evento del 25 marzo scorso, ha messo in relazione il blueprint alle iniziative di semplificazione portate avanti dalla Commissione, finalizzate anche all’individuazione delle migliori modalità di reazione nel caso di incidenti di ampia portata; inoltre, già in precedenza Henna Virkkunen, Vicepresidente esecutiva della Commissione europea per la Sovranità tecnologica, la sicurezza e la democrazia, aveva considerato che “il piano proposto per la cibersicurezza riflette l’impegno della Commissione a garantire un approccio coordinato, facendo leva sulle strutture esistenti per proteggere il mercato interno e sostenere funzioni vitali della società. La proposta di Cybersecurity Blueprint rappresenta un passo avanti fondamentale per rafforzare la cyberresilienza collettiva in un’economia dell’Unione dove sempre più le perturbazioni dovute agli incidenti di cibersicurezza possono avere impatti di vasta interdipendenza in vari settori”.

In particolare, l’obiettivo del progetto è quello di presentare in modo chiaro, semplice e accessibile, il quadro dell’Unione europea per la gestione delle crisi informatiche. Ciò dovrebbe consentire agli attori rilevanti dell’Unione (vale a dire i singoli soggetti e le reti di soggetti a livello dell’Unione) di comprendere come interagire e utilizzare al meglio i meccanismi disponibili durante l’intero ciclo di gestione delle crisi. La proposta intende spiegare che cos’è una crisi informatica e che cosa innesca un meccanismo di gestione delle crisi informatiche. Illustra, poi, come utilizzare i meccanismi disponibili come il meccanismo per le emergenze di cybersicurezza, compresa la riserva dell’UE per la cybersicurezza, per preparare le modalità di gestione, risposta e ripristino in seguito a una crisi derivante da un incidente di informatico su vasta scala.

Conclusioni

Nonostante i numerosi provvedimenti varati in ambito europeo per contrastare il diffondersi di attacchi informatici sempre più sofisticati, con l’obiettivo di combattere la diffusione del cybercrime e rafforzare la resilienza digitale, i risultati finora raggiunti non possono ancora ritenersi del tutto soddisfacenti. Per realizzare ulteriori progressi è necessario avviare iniziative di maggiore ampiezza, coinvolgendo soggetti privati, organizzazioni internazionali e singoli stati.

A livello nazionale, sono in corso importanti iniziative governative per la trasformazione digitale e la sicurezza delle reti, illustrate nel corso del convegno del 25 marzo dal Capo Dipartimento per il digitale, la connettività e le nuove tecnologie del MIMIT, Eva Spina, che ha ricordato come la transizione digitale abbia portato prospettive di sviluppo prima inimmaginabili e, allo stesso tempo, rischi e pericoli di eventuali attacchi hacker o ransomware, ai quali sono vulnerabili in primo luogo le micro e piccole imprese. “A tale riguardo – ha sottolineato Eva Spina – è fondamentale innanzitutto favorire la consapevolezza dei piccoli attori economici su tali rischi e le istituzioni devono accompagnare il sistema produttivo in questo percorso di transizione verso una maggiore sicurezza, sia con la diffusione di buone pratiche volte a migliorare la valutazione del rischio (come ha già fatto l’ENISA a livello europeo), sia soprattutto con programmi di formazione continua dei dipendenti, come peraltro previsto dalla NIS 2.

Il MIMIT, come autorità di settore, è impegnato ad implementare l’aggiornamento dei dipendenti pubblici e privati sui temi della cybersicurezza”.

Ancora con riferimento al nostro Paese, il disegno di legge in materia di intelligenza artificiale⁷ approvato dal Senato il 20 marzo 2025 e trasmesso alla Camera dei deputati, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, evidenzia la connessione tra la materia dell’intelligenza artificiale e quella della cybersicurezza. Tra gli obiettivi del provvedimento, infatti, rientra quello di garantire la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali che possono derivare da un uso improprio e malevolo dell’intelligenza artificiale. Su questo aspetto si è intrattenuto, nel corso del più volte richiamato convegno del 25 marzo, il Sen. Franco Zaffini, Presidente della X Commissione Salute e Lavoro e Presidente delle Commissioni riunite sull’intelligenza artificiale secondo il quale, a fronte degli attacchi realizzati con l’uso dell’intelligenza artificiale occorrerà sviluppare un’intelligenza “umana” capace di governare quella artificiale. Si tratta di una sfida che va affrontata a tutti i livelli, con particolare attenzione ai soggetti più fragili come le micro e piccole imprese, nei cui confronti è necessario migliorare e moltiplicare i nostri modelli formativi.

NOTE

1 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

2 Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 018/1972 e che abroga la direttiva (UE) 2016/1148.

3 Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza e l’ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari (GUUE L 18/10/2024).

4 Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i Regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828. Il Cyber Resilience Act si basa sulla Strategia per la sicurezza informatica dell’UE del 2020 e sulla Strategia per l’Unione per la sicurezza dell’UE e integra altre normative in questo settore, in particolare la direttiva NIS 2.

5 Regolamento (UE) 2025/38 del Parlamento europeo e del Consiglio del 19 dicembre 2024, che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il Regolamento (UE) 2021/694.

6 COM (2025) 66 final del 24 febbraio 2025: “Proposta di Raccomandazione del Consiglio relativa a un programma dell’UE sulla gestione delle crisi di cibersicurezza”.

7 Atto Camera n. 2316.