Regolamento eIDAS 2 e Direttiva NIS2: un quadro integrato difficile da mettere a terra

Il processo di iperproduzione normativa messo in atto dal Legislatore europeo crea non poche difficoltà agli esperti del settore.

Il voto positivo dell’ultimo progetto sul Regolamento (UE) 2024/1183^[1] del Parlamento Europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale – eIDAS 2, infatti, da spazio per un primo approfondimento avente ad oggetto i molteplici richiami espliciti alla Direttiva (UE) 2022/2555 – NIS2.

A fronte dei primi dubbi emersi nell’analisi del nuovo draft dello standard tecnico EN ETSI 319 401^[2], “documento che ha lo scopo di fornire fiducia nelle transazioni elettroniche, comprese, tra gli altri, i requisiti applicabili del Regolamento (UE) n. 910/2014, specificando i requisiti politici di base sulle pratiche operative e di gestione dei Trust Service Providers indipendentemente dal servizio forniscono compresi i requisiti di sicurezza informatica che rispettano NIS2” e su cui possono basarsi anche “altri standard, per identificare requisiti aggiuntivi per particolari tipi di servizi fiduciari”, riteniamo questa sia la sede opportuna per provare a fare un po’ di chiarezza.

Inquadramento normativo

L’EU cybersecurity certification framework^[3], il primo sistema di certificazione della sicurezza informatica a livello europeo per rendere più sicuro lo spazio digitale^[4], costituisce una parte del quadro normativo europeo, composto da altri pezzi di un “puzzle”, tra i quali indichiamo in modo non esaustivo^[5] il Cyber Resilience Act – CRA^[6], il Regolamento eIDAS^[7], il Regolamento europeo sull’Intelligenza Artificiale – AI Act^[8], l’EU Digital Identity Wallet^[9]e la c.d. Union Rolling Work Programme for European cybersecurity certification^[10].

A questo multiforme panorama normativo, si aggiunga anche la Direttiva (UE) 2022/2555^[11] del Parlamento Europeo e del Consiglio, nota anche come “NIS 2”^[12], relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che a sua volta è parte di un complesso sistema normativo su temi digitali di cui l’Unione si è dotata al fine di affrontare le minacce informatiche^[13], rafforzando l’azione avverso il “deterioramento del contesto di sicurezza a seguito dell’aggressione della Russia contro l’Ucraina e rafforzare la capacità dell’UE di proteggere i suoi cittadini e le sue infrastrutture”^[14].

Fonte: https://www.enisa.europa.eu/news/enisa-news/cybersecurity-certification-breaking-new-ground

Come può facilmente comprendersi dalla mappatura dell’iter normativo^[15] del Regolamento eIDAS 2^[16]nell’immagine che riportiamo, pubblicato nel suo testo definitivo lo scorso 30 aprile 2024 sulla Gazzetta Ufficiale europea – GUE, il percorso definitorio non è stato facile nemmeno per il legislatore europeo tenuto conto dei molteplici agganci esterni al tema principale oggetto dello stesso.

Fonte: https://eur-lex.europa.eu/legal-content/EN/HIS/?uri=celex:52021PC0281&sortOrder=asc

Tra tali agganci, nel presente elaborato desideriamo fornire un focus a quello che collega il Regolamento eIDAS 2 alla Direttiva (UE) 2022/2555 – NIS 2^[17]. Infatti, tenuto conto del fatto che, come chiarito dal Considerando 47 del Regolamento (UE) 2024/1183, “la prestazione e l’uso di servizi fiduciari così come i benefici apportati in termini di praticità e certezza giuridica nel contesto di transazioni transfrontaliere, in particolare nel caso in cui si utilizzino servizi fiduciari qualificati, stanno acquisendo una sempre maggiore importanza per il commercio e la cooperazione internazionali” e per questo che “nel fissare le condizioni alle quali i quadri fiduciari dei paesi terzi potrebbero essere considerati equivalenti ai quadri fiduciari per i servizi fiduciari qualificati e i relativi prestatori ai sensi del regolamento (UE) n. 910/2014, è opportuno garantire il rispetto delle pertinenti disposizioni di cui alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (13) e al regolamento (UE) 2016/679, nonché l’uso di elenchi di fiducia quali elementi essenziali per costruire la fiducia”. Inoltre, come specificato dal Considerando 50, dato che “i requisiti in materia di gestione dei rischi di cibersicurezza e gli obblighi di segnalazione a norma della direttiva (UE) 2022/2555 dovrebbero essere considerati complementari ai requisiti

imposti ai prestatori di servizi fiduciari a norma del presente regolamento” […] “a norma di tale direttiva i servizi fiduciari sono tenuti ad adottare misure tecniche e organizzative adeguate, quali misure per far fronte a guasti del sistema, errori umani, azioni malevole o fenomeni naturali, per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali prestatori utilizzano nella prestazione dei loro servizi, nonché per notificare minacce informatiche e incidenti significativi” […] “al fine di razionalizzare gli obblighi in materia di cibersicurezza imposti ai prestatori di servizi fiduciari, nonché di consentire a tali prestatori e alle rispettive autorità competenti di beneficiare del quadro giuridico istituito dalla direttiva (UE) 2022/2555”.

Tale fitta rete di collegamento tra le due discipline europee si estrinseca in un così stretto collegamento di controlli deputati alle autorità di controllo, seppur ancora – almeno in Italia – non sia giunto il termine ultimo di attuazione della Direttiva (UE) 2022/2555 – NIS 2.

Volendo quindi imparare dalla storia, al fine di comprendere quali gli scenari possibili di applicazione della direttiva citata, è bene specificare che le sorti di attuazione della Direttiva NIS^[18] avrebbero dovuto essere un monito per il Legislatore europeo. L’oscurità normativa, o l’inadeguatezza dell’impianto caratterizzato da un approccio di alto livello, ha portato gli Stati membri ad adottare scelte molto diversificate per dare attuazione alla Direttiva (UE) 2016/1148 – NIS^[19]. Infatti, come emerge da una analisi di settore, “il recepimento delle NIS è infatti avvenuto in tutte le legislazioni nazionali degli Stati membri dell’Unione Europea. Tuttavia, vi è eterogeneità nel tipo di testi legislativi adottati. Nella maggior parte dei paesi, il recepimento assume la forma di una legge (ventidue paesi), a cui tredici paesi aggiungono almeno un altro testo legislativo (ordinanza, decreto, regolamento, modifica o decisione ministeriale). In due paesi il recepimento delle NIS è avvenuto in ogni legge settoriale, il che aumenta il numero di testi legislativi (quattro o più testi).”^[20]

Innanzi a tali scenari incerti e poco rassicuranti, in Italia, per ciò che attiene al tema della conservazione dei documenti con riferimento alla Pubblica Amministrazione, potrebbe essere probabile che venga mantenuto lo schema per il Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali prodotto da UNI 11386:2020 – SInCRO^[21], pubblicato per la prima volta nel 2010 a cura dell’Ente italiano di normazione – UNI^[22], in seno alla Commissione tecnica Documentazione e informazione UNI/CT14, sottocommissione Archivi e gestione documentale – SC11, con l’obiettivo di costituire, nel processo di conservazione digitale a lungo termine, un elemento a supporto dell’interoperabilità di dati e sistemi e che definisce la struttura dell’insieme di dati a supporto del processo di conservazione sostitutiva. Lo standard nazionale UNI 11386:2020 – SInCRO si prefigge, infatti, l’obiettivo di diventare una proposta tecnica, metodologica e strategica, un requisito necessario per quei soggetti pubblici e privati che svolgano attività di conservazione e che intendano richiedere l’accreditamento, secondo le previsioni dell’Articolo 44 bis del CAD.

Lo stretto collegamento normotecnico

Nel draft della nuova norma tecnica EN ETSI 319 401^[23] emerge in modo netto lo stretto collegamento normotecnico che coinvolge il panorama normativo sopracitato. Infatti, già nella sua introduzione leggiamo che “la sicurezza informatica di tutti i servizi digitali essenziali è vitale per la trasformazione digitale dell’Europa con servizi digitali e transazioni elettroniche. La fornitura di servizi fiduciari eIDAS è identificata come un elemento essenziale dell’infrastruttura digitale europea. La Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 recante misure per un livello comune elevato di cibersicurezza nell’Unione, che modifica il Regolamento (UE) n. 910/2014 e la Direttiva (UE) 2018/1972 , e che abroga la Direttiva 2016/1148 (Direttiva NIS2 o NIS2) individua all’articolo 3 che i requisiti per le misure di gestione del rischio di sicurezza informatica sono applicabili, come entità essenziali, ai fornitori di servizi fiduciari qualificati ai sensi del regolamento eIDAS. Inoltre, poiché i servizi fiduciari eIDAS sono identificati come elemento fondamentale dell’infrastruttura digitale europea e NIS 2 è applicabile ai servizi fiduciari eIDAS, il presente documento mira anche a soddisfare i requisiti di NIS2.”

Inoltre, ai sensi dell’articolo 21 del Regolamento eIDAS 2^[24] il legislatore europeo ha tradotto lo stretto legame interlocutorio che si instaurerà, in Italia, tra l’Agenzia per l’Italia Digitale – AGID e l’Agenzia per la Cybersicurezza Nazionale – ACN nonché il ruolo di ACCREDIA^[25] e degli Organismi di Certificazione^[26]. Leggiamo infatti che “qualora i prestatori di servizi fiduciari intendano avviare la prestazione di un servizio fiduciario qualificato, notificano all’organismo di vigilanza la loro intenzione insieme a una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità che conferma il rispetto dei requisiti di cui al presente regolamento e all’articolo 21 della direttiva (UE) 2022/2555”.

Scenari aperti

La pubblicazione del Regolamento eIDAS 2 comporterà per tutti gli Stati membri l’obbligo di creare wallet e strumenti di identificazione notificati di livello 3 – CIE et similia, omogenei su tutto il territorio europeo, tali da consentire l’interoperabilità dei servizi di riconoscimento fiduciari attraverso i nodi eIDAS^[27]. Infatti, come leggiamo dall’Articolo 46 quater “1. Ciascuno Stato membro designa un punto di contatto unico per i servizi fiduciari, i portafogli europei di identità digitale e i regimi di identificazione elettronica notificati. 2. Ciascun punto di contatto unico svolge una funzione di collegamento per agevolare la cooperazione transfrontaliera tra gli organismi di vigilanza per i prestatori di servizi fiduciari e tra gli organismi di vigilanza per i fornitori dei portafogli europei di identità digitale e, se del caso, con la Commissione e l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) nonché con altre autorità competenti all’interno del rispettivo Stato membro. 3. Ciascuno Stato membro rende pubblici e, senza indebito ritardo, notifica alla Commissione i nomi e gli indirizzi del punto di contatto unico designato a norma del paragrafo 1 e qualsiasi successiva modifica degli stessi. 4. La Commissione pubblica un elenco dei punti di contatto unici notificati a norma del paragrafo 3.”

Fonte: https://www.agid.gov.it/it/piattaforme/nodo-eidas-italiano

Sarà poi necessaria una peer review condotta dalla Commissione europea e conseguente pubblicazione nella Gazzetta Ufficiale Europea – GUE di tutti i provider notificati, passaggio che farà attivare in modo automatico il principio del mutuo riconoscimento^[28].

Conclusioni

Dopo l’emanazione della Direttiva (UE) 2016/1148 relativa a misure per un elevato livello comune di sicurezza delle reti e dei sistemi di informazione in tutta l’Unione – Direttiva NIS e, successivamente, della Direttiva (UE) 2022/2555 sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione – Direttiva NIS2, entrambe recepite dal nostro ordinamento con il c.d. Perimetro Sicurezza Cibernetica^[29], il legislatore europeo volge al completamento del quadro normativo con il Regolamento (UE) 2024/1183 – eIDAS 2, significando, a supporto del Digital Product Passport – DPP^[30], quali sono per l’Europa i pilastri fondamentali.

Stante la recentissima pubblicazione del testo definitivo del Regolamento eIDAS 2 e dopo il 17 ottobre 2024, data di entrata in vigore della Direttiva NIS2, sappiamo solamente che è fatto obbligo alla Commissione europea, con riferimento ai servizi fiduciari già esistenti, di pubblicare l’elenco dei c.d. standard referenziati, tra cui è molto probabile ritroveremo anche UNI 11386:2020 – UNI SInCRO^[31] sopracitato, riconosciuto dal legislatore italiano come componente fondamentale del processo di conservazione digitale, seguito poi dalle Linee guida AGID sulla formazione, gestione e conservazione dei documenti informatici, su cui ha espresso il suo parere anche il Autorità Garante per la Protezione dei Dati Personali italiana – GPDP^[32].

Nonostante ciò, la nuova infrastruttura normativa relativa ai servizi fiduciari fa sorgere certamente non pochi dubbi di legittimità, tenuto conto che nelle mani della Commissione europea, organo con poteri meramente esecutivi, verrà incentrato un potere particolarmente dirimente, poichè, infatti, alla stessa è demandato il compito di stabilire ed emettere una lista di reference standards e di specifications & procedures laddove dovessero riscontrarsi lacune normotecniche. Accanto a questi, la Commissione europea ha il potere di emettere i c.d. implementing acts, atti di esecuzione delegati traducenti regole tecniche, il tutto con la ratio di uniformare il fitto ambito di applicazione, anche con riferimento agli standard tecnici non ancora referenziati per ciò che riguarda, tra i tanti, gli aspetti archivistici.

Gli Stati membri, reduci da un quadro normativo abbastanza frammentato e confuso portato già dalla Direttiva NIS^[33], oggi si trovano ad affrontare una delle sfide più audaci mai viste. Infatti, dall’analisi condotta emerge come la frammentazione normativa e l’utilizzo di uno strumento diverso dal Regolamento (UE) ha comportato, in alcuni casi, che gli Stati membri si rifacessero agli standard tecnici internazionali e, in altri casi, che gli stessi realizzassero una serie di interventi normativi che danno adito a delle manovre di vera e propria superfetazione normativa.

Fonte: https://www.riskinsight-wavestone.com/2021/09/while-preparing-the-nis-2-update-of-the-european-overview-of-nis-transposition-by-the-member-states-toward-convergence/

Innanzi ad una mole di atti diversificati che caratterizzano gli ultimi anni del panorama normativo europeo, che vanno dal Data Act^[34] e dal Data Governance Act^[35] al Digital services Act package^[36], a cui lo stesso Regolamento eIDAS fa rimando, e il Cyber Resilience Act – CRA^[37], volti a definire una strategia europea per i dati^[38] e una bussola strategica per la sicurezza e la difesa dell’UE^[39], sino a giungere adesso al Regolamento eIDAS 2, ci si domanda se realmente i termini stabiliti per l’implementazione del nuovo assetto normativo riusciranno ad essere rispettati, mettendo a terra una disciplina davvero armonizzata e concreta, che non si traduca nel mero confezionamento di adempimenti documentali^[40] e che, soprattutto, supporti il territorio comunitario innanzi a sfide colossali come questa.

Sitografia

Agenda Digitale.EU, Sapuppo, V., Nel labirinto delle norme Ue sulla cybersicurezza: come districarsi nella Direttiva NIS2, visionabile al link: https://www.agendadigitale.eu/sicurezza/nel-labirinto-delle-norme-ue-sulla-cybersicurezza-criticita-attuali-e-scenari-futuri/

AGID, Nuove Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, su cui ha espresso il suo parere anche il Garante Privacy italiano [Doc WEB n. 9283921 – https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9283921] raggiungibili al seguente link: https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/10/01/nuove-linee-guida-sulla-formazione-gestione-conservazione-documenti-informatici

AGID, Nodo eIDAS italiano, FICEP è il primo “server trasfrontaliero italiano”, pagina consultabile al seguente link: https://www.agid.gov.it/it/piattaforme/nodo-eidas-italiano

Cesarone, G., Formazione al cyber in azienda: ecco come farla bene, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/la-formazione-antidoto-per-la-cybersicurezza-in-azienda-ecco-come-farla-bene/

Commissione Europea, Proposta di Regolamento del Parlamento Europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52022PC0068&from=EN

Commissione Europea, Digital Product Passport – DPP, progetto raggiungibile al seguente link: https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/digital-2023-cloud-data-04-digipass;callCode=null;freeTextSearchKeyword=;matchWholeText=true;typeCodes=1,2,8;statusCodes=31094501;programmePeriod=2021%20-%202027;programCcm2Id=43152860;programDivisionCode=null;focusAreaCode=null;destinationGroup=null;missionGroup=null;geographicalZonesCode=null;programmeDivisionProspect=null;startDateLte=null;startDateGte=null;crossCuttingPriorityCode=null;cpvCode=null;performanceOfDelivery=null;sortQuery=sortStatus;orderBy=asc;onlyTenders=false;topicListKey=topicSearchTablePageState

Commissione Europea, Strategia europea in materia di dati, visionabile al link: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_it

Commissione europea, Cyber Defense: EU boosts action against cyber threats, sito raggiungibile al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_6642

Commissione Europea, Shaping Europe’s digital future, The Digital Services Act package, visionabile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package

Commissione Europea, Cyber Resilience Act, Proposta e Allegati visionabili al seguente link: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

Commissione Europea, Union Rolling Work Programme for European cybersecurity certification, sito istituzionale raggiungibile al seguente link: https://digital-strategy.ec.europa.eu/en/library/union-rolling-work-programme-european-cybersecurity-certification

Commissione Europea, European Digital Identity (EUDI) Regulation, EU Digital Identity Wallet, sito istituzionale raggiungibile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/eudi-regulation

Commissione Europea, First EU-wide cybersecurity certification scheme to make European digital space safer, sito istituzionale raggiungibile al seguente link: https://digital-strategy.ec.europa.eu/en/news/first-eu-wide-cybersecurity-certification-scheme-make-european-digital-space-safer

Consiglio dell’UE e del Consiglio europeo, Una bussola strategica per una sicurezza e una difesa dell’UE più forti nel prossimo decennio, visionabile al seguente link: https://www.consilium.europa.eu/en/press/press-releases/2022/03/21/a-strategic-compass-for-a-stronger-eu-security-and-defence-in-the-next-decade/

Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016L1148&from=ES

ENISA, EUCC, pagina istituzionale raggiungibile al link: https://certification.enisa.europa.eu

European Parliament, European Digital Identity Framework, visionabile al seguente link: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0117_EN.html#title2

Franchina, L., NIS 2 approvata: gli effetti su aziende e PA, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/

Lefebvre, N., En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence?, visionabile al link: https://www.riskinsight-wavestone.com/2021/09/while-preparing-the-nis-2-update-of-the-european-overview-of-nis-transposition-by-the-member-states-toward-convergence/

Marino, G., Cybersecurity comune nell’UE: ecco le ragioni di una NIS2, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/cybersecurity-comune-nellue-ecco-le-ragioni-di-una-nis2/

Ministero delle imprese e del Made in Italy, Perimetro Sicurezza Cibernetica, raggiungibile al seguente link: https://atc.mise.gov.it/index.php/sicurezza/perimetro-sicurezza

Parlamento europeo, Artificial Intelligence Act, European Parliament legislative resolution of 13 March 2024 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union Legislative Acts (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD)), visionabile al seguente link: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_EN.pdf

Proposta di Regolamento del Parlamento Europeo e del Consiglio relativa alla governance europea dei dati (Atto sulla governance dei dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52020PC0767&from=EN

Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ITA&toc=OJ%3AL%3A2014%3A257%3ATOC

Regolamento (UE) 2024/1183 del Parlamento Europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale – eIDAS 2, visionabile al seguente link: https://eur-lex.europa.eu/eli/reg/2024/1183/oj

UNI, Ente italiano di normazione, sito ufficiale raggiungibile al link: https://www.uni.com

UNI 11386:2020 – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali (SInCRO), raggiungibile al seguente link https://store.uni.com/uni-11386-2020

Zappaterra, G., Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende, Agenda Digitale.EU, visionabile al link: https://www.agendadigitale.eu/sicurezza/direttiva-nis2-approvata-i-nuovi-obblighi-di-cyber-sicurezza-per-le-aziende/

1. Regolamento (UE) 2024/1183 del Parlamento Europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale – eIDAS 2, visionabile al seguente link: https://eur-lex.europa.eu/eli/reg/2024/1183/oj ↑
2. Draft ETSI EN 319 401 V3.1.0 (2024-03), Electronic Signatures and Trust Infrastructures (ESI), iTeh Standards, General Policy Requirements for Trust Service Providers, consultabile al seguente link: https://cdn.standards.iteh.ai/samples/67940/63c10092c98a47dd9a56960ef892af72/ETSI-EN-319-401-V3-1-0-2024-03-.pdf ↑
3. Commissione Europea, EU cybersecurity certification framework, sito istituzionale raggiungibile al link: https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-certification-framework ↑
4. Commissione Europea, First EU-wide cybersecurity certification scheme to make European digital space safer, sito istituzionale raggiungibile al seguente link: https://digital-strategy.ec.europa.eu/en/news/first-eu-wide-cybersecurity-certification-scheme-make-european-digital-space-safer ↑
5. ENISA, EUCC, pagina istituzionale raggiungibile al link: https://certification.enisa.europa.eu ↑
6. Cyber Resilience Act – CRA, https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act ↑
7. Regolamento eIDAS sull’identificazione elettronica e sui servizi fiduciari, descrizione generale visionabile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/eidas-regulation ↑
8. Parlamento europeo, Artificial Intelligence Act, European Parliament legislative resolution of 13 March 2024 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union Legislative Acts (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD)), visionabile al seguente link: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_EN.pdf ↑
9. Commissione Europea, European Digital Identity (EUDI) Regulation, EU Digital Identity Wallet, sito istituzionale raggiungibile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/eudi-regulation ↑
10. Commissione Europea, Union Rolling Work Programme for European cybersecurity certification, sito istituzionale raggiungibile al seguente link: https://digital-strategy.ec.europa.eu/en/library/union-rolling-work-programme-european-cybersecurity-certification ↑
11. Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (Testo rilevante ai fini del SEE), testo consultabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32022L2555 ↑
12. Per un maggiore approfondimento sulla Direttiva NIS 2, vedasi: Franchina, L., NIS 2 approvata: gli effetti su aziende e PA, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/nis-2-approvata-gli-effetti-su-aziende-e-pa/ ↑
13. Council of the EU and the European Council, Cybersecurity: how the EU tackles cyber threats, ove è possibile prendere visione della strategia europea in materia di cybersecurity, sito raggiungibile al seguente link: https://www.consilium.europa.eu/en/policies/cybersecurity/ ↑
14. Nostra traduzione, fonte: Commissione europea, Cyber Defense: EU boosts action against cyber threats, sito raggiungibile al seguente link: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_6642 ↑
15. Sviluppo normativo visionabile al seguente link: https://eur-lex.europa.eu/legal-content/EN/HIS/?uri=celex:52021PC0281 ↑
16. Regolamento (UE) 2024/1183 del Parlamento Europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione del quadro europeo relativo a un’identità digitale – eIDAS 2, visionabile al seguente link: https://eur-lex.europa.eu/eli/reg/2024/1183/oj ↑
17. Per ulteriori approfondimenti si veda, Zappaterra, G., Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende, Agenda Digitale.EU, visionabile al link: https://www.agendadigitale.eu/sicurezza/direttiva-nis2-approvata-i-nuovi-obblighi-di-cyber-sicurezza-per-le-aziende/ ↑
18. Per ulteriori approfondimenti, vedasi: Marino, G., Cybersecurity comune nell’UE: ecco le ragioni di una NIS2, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/cybersecurity-comune-nellue-ecco-le-ragioni-di-una-nis2/ ↑
19. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=NL ↑
20. Lefebvre, N., En pleine préparation de la NIS V2, mise à jour du tour d’horizon européen de transposition de la directive NIS par les états membres… vers une convergence?, visionabile al link: https://www.riskinsight-wavestone.com/2021/09/while-preparing-the-nis-2-update-of-the-european-overview-of-nis-transposition-by-the-member-states-toward-convergence/ ↑
21. UNI 11386:2020 – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali (SInCRO), raggiungibile al seguente link https://store.uni.com/uni-11386-2020 ↑
22. UNI, Ente italiano di normazione, sito ufficiale raggiungibile al link: https://www.uni.com ↑
23. Draft ETSI EN 319 401 V3.1.0 (2024-03), Electronic Signatures and Trust Infrastructures (ESI), iTeh Standards, General Policy Requirements for Trust Service Providers, consultabile al seguente link: https://cdn.standards.iteh.ai/samples/67940/63c10092c98a47dd9a56960ef892af72/ETSI-EN-319-401-V3-1-0-2024-03-.pdf ↑
24. European Parliament, European Digital Identity Framework, visionabile al seguente link: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0117_EN.html#title2 ↑
25. ACCREDIA, L’Ente italiano di accreditamento, sito istituzionale raggiungibile al seguente link: https://www.accredia.it ↑
26. ACCREDIA, Le certificazioni sotto accreditamento assicurano la conformità di sistemi, processi, prodotti, servizi e persone ai requisiti fissati dalle norme e dagli standard internazionali, https://www.accredia.it/servizi-accreditati/certificazioni/ ↑
27. AGID, Nodo eIDAS italiano, FICEP è il primo “server trasfrontaliero italiano”, pagina consultabile al seguente link: https://www.agid.gov.it/it/piattaforme/nodo-eidas-italiano ↑
28. Regolamento eIDAS 2, Articolo 46 sexies Gruppo di cooperazione per l’identità digitale europea “1. Per sostenere e agevolare la cooperazione transfrontaliera e lo scambio di informazioni tra gli Stati membri in materia di servizi fiduciari, portafogli europei di identità digitale e regimi di identificazione elettronica notificati, la Commissione istituisce un gruppo di cooperazione per l’identità digitale europea (“gruppo di cooperazione”). 2. Il gruppo di cooperazione si compone di rappresentanti nominati dagli Stati membri e rappresentanti della Commissione. Il gruppo di cooperazione è presieduto dalla Commissione. La Commissione provvede alle funzioni di segretariato del gruppo di cooperazione. 3. Rappresentanti dei pertinenti portatori di interessi possono essere invitati, ad hoc, ad assistere alle riunioni del gruppo di cooperazione e a partecipare ai suoi lavori in qualità di osservatori. 4. L’ENISA è invitata a partecipare in qualità di osservatore ai lavori del gruppo di cooperazione quando esso procede a scambi di opinioni, migliori pratiche e informazioni su aspetti pertinenti in materia di cibersicurezza, quali la notifica delle violazioni di sicurezza, e quando si tratta dell’uso dei certificati o delle norme di cibersicurezza. 5. Il gruppo di cooperazione svolge i compiti seguenti: a) scambia consulenze e coopera con la Commissione in materia di iniziative strategiche emergenti nel settore dei portafogli di identità digitale, dei mezzi di identificazione elettronica e dei servizi fiduciari; b) fornisce consulenza alla Commissione, se del caso, nella fase precoce dell’elaborazione di progetti di atti delegati e di atti esecuzione da adottare a norma del presente regolamento; c) al fine di sostenere gli organismi di vigilanza nell’attuazione delle disposizioni del presente regolamento: i) scambia migliori pratiche e informazioni sull’attuazione delle disposizioni del presente regolamento; ii) valuta i pertinenti sviluppi nei settori del portafoglio di identità digitale, dell’identificazione elettronica e dei servizi fiduciari; iii) organizza riunioni congiunte con le pertinenti parti interessate di tutta l’Unione per discutere delle attività svolte dal gruppo di cooperazione e raccoglie contributi sulle sfide strategiche emergenti; iv) con il sostegno dell’ENISA, scambia opinioni, migliori pratiche e informazioni su questioni pertinenti in materia di cibersicurezza in relazioni ai portafogli europei di identità digitale, ai regimi di identificazione elettronica e ai servizi fiduciari; v) scambia migliori pratiche in relazione allo sviluppo e all’attuazione di politiche in materia di notifica delle violazioni della sicurezza e misure comuni di cui agli articoli 5 sexies e 10; vi) organizza riunioni congiunte con il gruppo di cooperazione NIS istituito a norma dell’articolo 14, paragrafo 1, della direttiva (UE) 2022/2555 per scambiare informazioni pertinenti in relazione a minacce informatiche, incidenti e vulnerabilità associati ai servizi fiduciari e all’identificazione elettronica, iniziative di sensibilizzazione, formazioni, esercitazioni e competenze, sviluppo delle capacità, capacità in materia di norme e specifiche tecniche, nonché norme e specifiche tecniche; vii) discute, su richiesta di un organismo di vigilanza, delle richieste specifiche di assistenza reciproca di cui all’articolo 46 quinquies; viii) facilita lo scambio di informazioni tra gli organismi di vigilanza fornendo orientamenti sugli aspetti organizzativi e sulle procedure per l’assistenza reciproca di cui all’articolo 46 quinquies; d) organizza valutazioni tra pari dei regimi di identificazione elettronica da notificare ai sensi del presente regolamento. 6. Gli Stati membri garantiscono la collaborazione effettiva ed efficiente dei rispettivi rappresentanti designati nel gruppo di cooperazione. Entro il 21 maggio 2025 la Commissione, mediante atti di esecuzione, stabilisce le modalità procedurali necessarie per facilitare la cooperazione tra gli Stati membri di cui al paragrafo 5, lettera d), del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 48, paragrafo 2.” ↑
29. Ministero delle imprese e del Made in Italy, Perimetro Sicurezza Cibernetica, raggiungibile al seguente link: https://atc.mise.gov.it/index.php/sicurezza/perimetro-sicurezza ↑
30. Commissione Europea, Digital Product Passport – DPP, progetto raggiungibile al seguente link: https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/digital-2023-cloud-data-04-digipass;callCode=null;freeTextSearchKeyword=;matchWholeText=true;typeCodes=1,2,8;statusCodes=31094501;programmePeriod=2021%20-%202027;programCcm2Id=43152860;programDivisionCode=null;focusAreaCode=null;destinationGroup=null;missionGroup=null;geographicalZonesCode=null;programmeDivisionProspect=null;startDateLte=null;startDateGte=null;crossCuttingPriorityCode=null;cpvCode=null;performanceOfDelivery=null;sortQuery=sortStatus;orderBy=asc;onlyTenders=false;topicListKey=topicSearchTablePageState ↑
31. UNI 11386:2020 – Supporto all’Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali (SInCRO), raggiungibile al seguente link https://store.uni.com/uni-11386-2020 ↑
32. AGID, Nuove Linee Guida sulla formazione, gestione e conservazione dei documenti informatici, su cui ha espresso il suo parere anche il Garante Privacy italiano [Doc WEB n. 9283921 – https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9283921] raggiungibili al seguente link: https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/10/01/nuove-linee-guida-sulla-formazione-gestione-conservazione-documenti-informatici ↑
33. Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016L1148&from=ES ↑
34. Commissione Europea, Proposta di Regolamento del Parlamento Europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52022PC0068&from=EN ↑
35. Proposta di Regolamento del Parlamento Europeo e del Consiglio relativa alla governance europea dei dati (Atto sulla governance dei dati), visionabile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52020PC0767&from=EN ↑
36. Commissione Europea, Shaping Europe’s digital future, The Digital Services Act package, visionabile al seguente link: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package ↑
37. Commissione Europea, Cyber Resilience Act, Proposta e Allegati visionabili al seguente link: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act ↑
38. Commissione Europea, Strategia europea in materia di dati, visionabile al link: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_it ↑
39. Consiglio dell’UE e del Consiglio europeo, Una bussola strategica per una sicurezza e una difesa dell’UE più forti nel prossimo decennio, visionabile al seguente link: https://www.consilium.europa.eu/en/press/press-releases/2022/03/21/a-strategic-compass-for-a-stronger-eu-security-and-defence-in-the-next-decade/ ↑
40. Cesarone, G., Formazione al cyber in azienda: ecco come farla bene, Agenda Digitale.EU, https://www.agendadigitale.eu/sicurezza/la-formazione-antidoto-per-la-cybersicurezza-in-azienda-ecco-come-farla-bene/ ↑