La proposta di regolamento UE sulla Cyber solidarietà (“Cyber Solidarity Act”) mira a rafforzare la capacità di rilevamento, individuazione e risposta di cui intende dotarsi l’Unione europea per essere in grado di fronteggiare possibili minacce informatiche su vasta scala grazie alla creazione di un sistema generale di allarme, costituito da centri operativi (SOC), nazionali e transfrontalieri, sinergicamente interconnessi, con l’intento di processare e condividere i dati analizzati nell’ambito di un meccanismo globale di emergenza azionabile nei casi di incidenti rilevanti: un vero e proprio “Cyberscudo europeo”.
Il rapporto con la strategia europea per la cybersicurezza
L’iniziativa legislativa, predisposta in combinato disposto con il “Cyber Resilience Act” (che ha già concluso il relativo iter procedurale di approvazione definitiva a seguito dell’avvenuta adozione ufficiale del testo da parte delle istituzioni euro-unitarie), costituisce uno dei pilastri attuativi della Strategia europea per la cybersicurezza, predisposta dalla Commissione europea nel 2020 ad integrazione della disciplina prevista dalla Direttiva NIS 2 e dal Regolamento UE 2019/881 sulla sicurezza informatica (“Cybersecurity Act”).
Alla luce della complessiva cornice regolatoria delineata, il “Cyber Solidarity Act” introduce un corpus di regole volte alla fortificazione di un “cyber scudo europeo”, in grado di migliorare le misure di contrasto alle minacce informatiche rilevanti che possono compromettere la vulnerabilità del complessivo ecosistema europeo.
Struttura e obiettivi del cyber solidarity act
Sul piano strutturale, la proposta di regolamento sulla cyber solidarietà consta di 22 articoli formulati nell’ambito di 5 distinti Capi.
In particolare, il Capo I positivizza gli obiettivi generali e specifici perseguiti dal legislatore europeo, oltre a enucleare le definizioni concettuali per l’inquadramento delle fattispecie ivi contemplate e identificare l’ambito applicativo della normativa mediante la configurazione del relativo oggetto.
Il Capo II istituisce il “Cyber scudo europeo”, mentre il Capo III crea il meccanismo per le emergenze di cibersicurezza, integrato dal meccanismo di riesame degli incidenti telematici (di cui si occupa il successivo Capo IV).
Segue, infine, l’ultimo Capo V, recante una serie di disposizioni finali volte prevalentemente a modificare e/o integrare il quadro normativo previgente.
Come si evince nell’ambito della relazione introduttiva (che precede la formulazione testuale delle disposizioni oggetto di proposta normativa), la “ratio” legislativa sottesa all’introduzione della nuova disciplina è ravvisabile nella crescente proliferazione di minacce informatiche, in grado di provocare incidenti su larga scala in settori rilevanti.
La necessità di un intervento normativo organico
Emerge, dunque, la necessità di un intervento organico predisposto a livello di Unione europea mediante un’azione comune e uniforme che giustifica l’adozione di un regolamento (ossia, di un atto di diritto derivato, avente portata generale e obbligatoria, direttamente applicabile senza la preventiva trasposizione interna del suo contenuto), atteso che gli Stati membri non riescono da soli a fronteggiare le insidie telematiche rilevate.
Per tale ragione, poiché le tecnologie digitali possono essere utilizzate anche per scopi destabilizzanti di “guerra ibrida” con effetti collaterali oltremodo ostili per la complessiva sicurezza dell’Unione europea, si pone l’esigenza di riformare il quadro normativo in materia, introducendo efficaci misure di prevenzione e di contrasto contro il rischio di incidenti informatici, nell’ottica di contribuire a rafforzare la sovranità digitale europea, in attuazione di quanto previsto dalla Raccomandazione UE 2017/1584 della Commissione europea relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala, emanata in combinato disposto con la Raccomandazione del Consiglio dell’8 dicembre 2022 su un approccio coordinato a livello dell’Unione per rafforzare la resilienza delle infrastrutture critiche.
Tenuto conto del preoccupante impatto negativo degli incidenti di cybersicurezza a causa di frequenti attacchi informatici con “finalità di cyberspionaggio, di ransomware o di perturbazione, che rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi”, il legislatore europeo interviene, pertanto, in materia, per fronteggiare “il rischio di possibili incidenti su vasta scala”, da cui discendono significativi danni in grado di inasprire le tensioni geopolitiche a livello planetario e pregiudicare la corretta erogazione dei servizi pubblici, minando la fiducia della collettività (cfr. Considerando n. 2).
Definizioni e applicazione del cyber solidarity act
Sotto il profilo definitorio, la disciplina prevista dal “Cyber Solidarity Act” trova applicazione quando viene in rilievo una “minaccia informatica”, consistente in “qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone” (cfr. art. 2, punto 8, Regolamento UE 2019/881, cui rinvia espressamente l’art. 2 della proposta normativa).
Centri operativi di sicurezza nazionali e transfrontalieri: il cyber scudo europeo
Entrando nel dettaglio del “Cyber Solidarity Act”, la proposta di regolamento prevede, tra l’altro, la realizzazione di un’infrastruttura paneuropea di centri operativi di sicurezza (“Cyberscudo”), unitamente alla creazione di un meccanismo per le emergenze di cybersicurezza “al fine di sostenere gli Stati membri nella preparazione e nella risposta agli incidenti di cibersicurezza significativi e su vasta scala e nella ripresa immediata dagli stessi” (cfr. art. 1).
Incidenti di cyber sicurezza “significativi” e “su vasta scala”
Costituisce un “incidente di cybersicurezza significativo” un qualsiasi evento che “ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato”, ovvero “si è ripercosso o è in grado di ripercuotere su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli” (cfr. art. 23, paragrafo 3, Direttiva UE 2022/2555, cui rinvia espressamente l’art. 2 del “Cyber Solidarity Act”).
Un “incidente di cibersicurezza su vasta scala” integra gli elementi costitutivi di una specifica ulteriore fattispecie, configurabile quando l’evento “causa un livello di perturbazione superiore alla capacità di uno Stato membro di rispondervi o che ha un impatto significativo su almeno due Stati membri” (cfr. art. 6, punto 7, Direttiva UE 2022/2555, da intendersi integralmente richiamato sempre in virtù della clausola di rinvio di cui all’art. 2 del “Cyber Solidarity Act”).
Rispetto alle principali novità legislative introdotte dal “Cyber Solidarity Act”, l’art. 3 qualifica il “Cyberscudo europeo” come “un’infrastruttura paneuropea interconnessa di centri operativi di sicurezza (SOC) volta a sviluppare capacità avanzate che permettano all’Unione di rilevare, analizzare ed elaborare dati sulle minacce e sugli incidenti informatici nell’Unione”, precisando che la predetta struttura ha il compito, tra l’altro, di condividere, attraverso i SOC transfrontalieri, i dati sulle minacce e sugli incidenti informatici e analizzare le informazioni rilevate mediante l’utilizzo di nuove tecnologie emergenti (compresa l’intelligenza artificiale).
I I centri operativi di sicurezza nazionali e transfrontalieri
A tenore del successivo art. 4, i centri operativi di sicurezza nazionale costituiscono organismi pubblici (ex 2, paragrafo 1, punto 4, Direttiva UE 2014/24), dotati di tecnologie all’avanguardia, istituiti da ogni Stato membro al fine di partecipare alle attività del “Cyber scudo europeo”, “per la raccolta e l’analisi di informazioni sulle minacce e sugli incidenti di cibersicurezza”.
I centri operativi di sicurezza transfrontalieri assumono, invece, la forma di un consorzio, definibile come “piattaforma multinazionale che riunisce in una struttura di rete coordinata i SOC nazionali di almeno 3 Stati membri […], concepita per prevenire le minacce e gli incidenti informatici e per favorire l’elaborazione di analisi di alta qualità, in particolare mediante lo scambio di dati provenienti da varie fonti, pubbliche e private, nonché tramite la condivisione di strumenti all’avanguardia e lo sviluppo congiunto di capacità di rilevamento, analisi, prevenzione e protezione nel settore informatico in un contesto di fiducia” (cfr. art. 2).
Pertanto, ogni centro operativo di sicurezza transfrontaliera è composto da almeno 3 Stati membri, rappresentati da SOC nazionali, “impegnati a collaborare per coordinare le loro attività di rilevamento e di monitoraggio delle minacce informatiche” (cfr. art. 5), nell’ottica di condividere, mediante un’azione sinergica di cooperazione rafforzata, “informazioni […], tecniche e procedure, indicatori di compromissione, tattiche avversarie […], allarmi di cibersicurezza e raccomandazioni relative alla configurazione degli strumenti di cibersicurezza”, con l’intento di prevenire attacchi e accrescere il livello di consapevolezza e sensibilizzazione nel settore (cfr. art. 6).
Il meccanismo per le emergenze di cybersicurezza
Nell’ambito del Capo III, l’art. 9 prevede l’istituzione del meccanismo per le emergenze di cybersicurezza “al fine di migliorare la resilienza dell’Unione alle minacce gravi alla cibersicurezza e, in uno spirito di solidarietà, prepararsi all’impatto a breve termine degli incidenti di cibersicurezza significativi e su vasta scala nonché attenuare tale impatto”. In particolare, per perseguire le sopraindicate finalità di intervento, tale sistema svolge svariate azioni di preparazione, risposta e assistenza reciproca quando si verificano incidenti telematici rilevanti.
Riesame degli incidenti e ruolo di Enisa
All’interno del Capo IV, l’art. 18 disciplina il meccanismo di riesame degli incidenti di cybersicurezza, attribuendo all’’ENISA il compito di riesaminare e valutare le minacce, le vulnerabilità e le azioni di attenuazione a fronte di uno specifico incidente di cibersicurezza significativo o su vasta scala, per poi formalizzare le osservazioni analitiche in una relazione finale conclusiva dell’indagine effettuata, predisposta all’esito di una procedura “multistakeholder” che prenda in considerazione tutti gli interessi da coinvolgere nella relativa consultazione.
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente collegate, in alcun modo, alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.
