Slide background

Regolamento (UE) 2025/37

ID 23297 | | Visite: 71 | CybersicurezzaPermalink: https://www.certifico.com/id/23297

Regolamento  UE  202537   Modifica Cybersecurity Act

Regolamento (UE) 2025/37 / Modifica Cybersecurity Act

ID 23297 | 15.01.2025

Regolamento (UE) 2025/37 del Parlamento europeo e del Consiglio, del 19 dicembre 2024, che modifica il regolamento (UE) 2019/881 per quanto riguarda i servizi di sicurezza gestiti

GU L 2025/37 del 15.1.2025

Entrata n vigore: 04.02.2025

...

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,
vista la proposta della Commissione europea,
previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,
visto il parere del Comitato economico e sociale europeo,
previa consultazione del Comitato delle regioni,
deliberando secondo la procedura legislativa ordinaria,
considerando quanto segue:

(1) Il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio istituisce un quadro per l'introduzione di sistemi europei di certificazione della cibersicurezza al fine di garantire un livello adeguato di cibersicurezza dei prodotti delle tecnologie dell'informazione e della comunicazione (TIC), dei servizi TIC e dei processi TIC nell'Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cibersicurezza nell'Unione.

(2) Al fine di garantire la resilienza dell'Unione agli attacchi informatici e prevenire eventuali vulnerabilità nel mercato interno, il presente regolamento è inteso a integrare il quadro normativo orizzontale che stabilisce requisiti globali di cibersicurezza per i prodotti con elementi digitali a norma del regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio prevedendo obiettivi di sicurezza per i servizi di sicurezza gestiti, nonché l'applicazione e l'affidabilità di tali servizi.

(3) I servizi di sicurezza gestiti sono forniti dai fornitori di servizi di sicurezza gestiti quali definiti all'articolo 6, punto 40), della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio. La definizione di servizi di sicurezza gestiti nel presente regolamento dovrebbe pertanto essere coerente con quella di fornitori di servizi di sicurezza gestiti della direttiva (UE) 2022/2555. Tali servizi consistono nello svolgimento di attività legate alla gestione dei rischi in materia di cibersicurezza dei loro clienti o nella fornitura di assistenza per tali attività e hanno acquisito un'importanza crescente nella prevenzione e attenuazione degli incidenti. Di conseguenza i fornitori di tali servizi sono considerati soggetti essenziali o importanti appartenenti a un settore ad alta criticità ai sensi della direttiva (UE) 2022/2555. Come affermato nel considerando 86 di tale direttiva, i fornitori di servizi di sicurezza gestiti in settori quali la risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza svolgono un ruolo particolarmente importante nell'assistere i soggetti nei loro sforzi per la prevenzione e il rilevamento degli incidenti, la risposta agli stessi o la ripresa da essi. Tuttavia, i fornitori di servizi di sicurezza gestiti sono stati essi stessi bersaglio di attacchi informatici e presentano un particolare rischio a causa della loro stretta integrazione nelle attività dei clienti. È quindi importante che i soggetti essenziali e importanti ai sensi della direttiva (UE) 2022/2555 esercitino una maggiore diligenza nella selezione dei fornitori di servizi di sicurezza gestiti.

(4) La definizione di servizi di sicurezza gestiti nell'ambito del presente regolamento comprende un elenco non esaustivo di servizi di sicurezza gestiti che potrebbero soddisfare le condizioni richieste dai sistemi europei di certificazione della cibersicurezza, quali servizi di gestione degli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza relativa all'assistenza tecnica. I servizi di sicurezza gestiti potrebbero comprendere servizi di cibersicurezza che sostengono la preparazione agli incidenti, la prevenzione, il rilevamento, l'analisi e l'attenuazione di tali incidenti, la risposta agli stessi e la ripresa da essi. Anche la fornitura di informazioni sulle minacce informatiche e la valutazione dei rischi relativi all'assistenza tecnica potrebbero essere considerate servizi di sicurezza gestiti. Vi potrebbero essere sistemi europei di certificazione della cibersicurezza distinti per diversi servizi di sicurezza gestiti. I certificati europei di cibersicurezza rilasciati conformemente a tali sistemi dovrebbero fare riferimento a specifici servizi di sicurezza gestiti di uno specifico fornitore di tali servizi.

(5) I fornitori di servizi di sicurezza gestiti possono, inoltre, svolgere un ruolo importante in relazione alle azioni dell'Unione a sostegno della risposta e della ripresa iniziale in caso di incidenti significativi e di incidenti di cibersicurezza su vasta scala, facendo affidamento sui servizi di fornitori privati di fiducia e sulla sperimentazione di soggetti critici per rilevare potenziali vulnerabilità sulla base di valutazioni coordinate a livello dell'Unione del rischio per la sicurezza. La certificazione dei servizi di sicurezza gestiti potrebbe svolgere un ruolo nella selezione dei fornitori di servizi di sicurezza gestiti di fiducia quali definiti nel regolamento (UE) 2025/38 del Parlamento europeo e del Consiglio.

(6) Oltre a essere rilevante nell'ambito del processo di selezione riguardante la riserva dell'UE per la cibersicurezza istituita dal regolamento (UE) 2025/38, la certificazione dei servizi di sicurezza gestiti rappresenta anche un indicatore di qualità essenziale per i soggetti pubblici e privati che intendono acquistare tali servizi. Alla luce della criticità dei servizi di sicurezza gestiti e della sensibilità dei dati trattati, la certificazione potrebbe fornire ai potenziali clienti indicazioni e garanzie importanti sull'affidabilità di tali servizi. I sistemi europei di certificazione della cibersicurezza per i servizi di sicurezza gestiti sono intesi a contribuire a evitare la frammentazione del mercato interno. Il presente regolamento mira pertanto a migliorare il funzionamento del mercato interno.

(7) I sistemi europei di certificazione della cibersicurezza per i servizi di sicurezza gestiti dovrebbero portare alla diffusione di tali servizi e a una maggiore concorrenza tra i fornitori di servizi di sicurezza gestiti. Fatto salvo l'obiettivo di garantire livelli sufficienti e adeguati di conoscenze tecniche pertinenti e integrità professionale di tali fornitori, tali sistemi di certificazione dovrebbero pertanto agevolare l'ingresso nel mercato e l'offerta di servizi di sicurezza gestiti semplificando, per quanto possibile, i potenziali oneri normativi, amministrativi e finanziari che i fornitori, in particolare le piccole e medie imprese (PMI), incluse le microimprese, potrebbero incontrare quando offrono servizi di sicurezza gestiti. Inoltre, per incoraggiare la diffusione dei servizi di sicurezza gestiti e stimolarne la domanda, i sistemi europei di certificazione della cibersicurezza dovrebbero contribuire all'accessibilità di tali servizi, in particolare per gli attori di dimensioni più ridotte, come le PMI, incluse le microimprese, nonché per le autorità locali e regionali che dispongono di capacità e di risorse limitate, ma sono maggiormente esposte a violazioni della cibersicurezza con implicazioni finanziarie, giuridiche, reputazionali e operative.

(8) È importante aiutare le PMI, incluse le microimprese, ad attuare il presente regolamento e ad assumere personale con competenze e conoscenze specialistiche in materia di cibersicurezza necessarie per fornire servizi di sicurezza gestiti in conformità dei requisiti stabiliti nel presente regolamento. Il programma Europa digitale istituito dal regolamento (UE) 2021/694 del Parlamento europeo e del Consiglio e altri programmi pertinenti dell'Unione prevedono che la Commissione istituisca un sostegno finanziario e tecnico che consenta a tali imprese di contribuire alla crescita dell'economia dell'Unione e di rafforzare il livello comune di cibersicurezza nell'Unione, anche razionalizzando il sostegno finanziario del programma Europa digitale e di altri programmi pertinenti dell'Unione e sostenendo le PMI, incluse le microimprese.

(9) Il sistemi europei di certificazione della cibersicurezza per i servizi di sicurezza gestiti dovrebbe contribuire alla disponibilità di servizi sicuri e di elevata qualità che garantiscano una transizione digitale sicura e al conseguimento degli obiettivi stabiliti nel programma strategico per il decennio digitale 2030 istituito dalla decisione (UE) 2022/2481 del Parlamento europeo e del Consiglio, in particolare per quanto riguarda l'obiettivo di far sì che il 75 % delle imprese dell'Unione inizi a fare uso di servizi di cloud computing, big data o intelligenza artificiale, che oltre il 90 % delle PMI, incluse le microimprese, raggiunga almeno un livello minimo di intensità digitale e che i servizi pubblici principali siano accessibili online.

(10) Oltre a garantire l'avviamento dei prodotti TIC, dei servizi TIC o dei processi TIC, i servizi di sicurezza gestiti spesso forniscono funzionalità di servizio aggiuntive basate sulla competenza, sulla perizia e sull'esperienza del personale dei fornitori di tali servizi. Al fine di garantire una qualità molto elevata dei servizi di sicurezza gestiti forniti, occorre prevedere, tra gli obiettivi di sicurezza, competenze, perizia ed esperienza di altissimo livello, nonché procedure interne appropriate. Pertanto, al fine di garantire che tutti gli aspetti relativi ai servizi di sicurezza gestiti siano coperti da sistemi europei di certificazione della cibersicurezza dedicati, è necessario modificare il regolamento (UE) 2019/881. È opportuno tenere conto dei risultati e delle raccomandazioni della valutazione e del riesame di cui al regolamento (UE) 2019/881.

(11) Al fine di agevolare la crescita di un mercato interno affidabile, creando nel contempo partenariati con paesi terzi che condividono gli stessi principi, il processo di certificazione stabilito nel quadro europeo di certificazione della cibersicurezza previsto dal regolamento (UE) 2019/881 dovrebbe essere attuato in modo da facilitare il riconoscimento internazionale e l'allineamento alle norme internazionali.

(12) L'Unione si trova ad affrontare un divario di talenti caratterizzato da una carenza di professionisti qualificati, oltre a un panorama di minacce in rapida evoluzione, come riconosciuto nella comunicazione della Commissione del 18 aprile 2023 dal titolo «Colmare il divario di talenti nel settore della cibersicurezza per rafforzare la competitività, la crescita e la resilienza dell'UE (“Accademia per le competenze in materia di cibersicurezza”)». Le risorse didattiche e le tipologie di formazione formale sono varie e le conoscenze possono essere acquisite in diversi modi: formalmente, ad esempio attraverso la frequenza di studi universitari o di corsi, o informalmente, ad esempio attraverso formazioni sul posto di lavoro o un'esperienza lavorativa nel settore pertinente. Pertanto, al fine di facilitare l'emergere di servizi di sicurezza gestiti e di elevata qualità e di disporre di un quadro più chiaro della composizione della forza lavoro dell'Unione nel settore della cibersicurezza, è importante rafforzare la cooperazione tra gli Stati membri, la Commissione, l'Agenzia dell'Unione europea per la cibersicurezza istituita dal regolamento (UE) 2019/881 (ENISA) e i portatori di interessi, compresi il settore privato e il mondo accademico, attraverso lo sviluppo di partenariati pubblico-privati, il sostegno a iniziative di ricerca e innovazione, lo sviluppo e il riconoscimento reciproco di norme comuni e la certificazione delle competenze in materia di cibersicurezza, anche attraverso il quadro europeo delle competenze in materia di cibersicurezza. Tale cooperazione agevolerebbe, inoltre, la mobilità dei professionisti della cibersicurezza all'interno dell'Unione come pure l'integrazione delle conoscenze e della formazione in materia di cibersicurezza nei programmi di istruzione, garantendo al contempo l'accesso agli apprendistati e ai tirocini per i giovani, tra cui le persone che vivono in regioni svantaggiate, come le isole e le regioni scarsamente popolate, rurali e periferiche. È importante che tale cooperazione miri ad attrarre un maggior numero di donne e ragazze nel settore e contribuisca ad affrontare il divario di genere in ambito scientifico, tecnologico, ingegneristico e matematico, e che il settore privato miri a fornire una formazione sul posto di lavoro che tenga conto delle competenze più richieste, coinvolgendo la pubblica amministrazione e le start-up, nonché le PMI, incluse le microimprese. È anche importante che i fornitori e gli Stati membri collaborino e contribuiscano alla raccolta di dati sulla situazione e sull'evoluzione del mercato del lavoro della cibersicurezza.

(13) L'ENISA svolge un ruolo importante nella preparazione delle proposte di sistemi europei di certificazione della cibersicurezza. In sede di preparazione del progetto di bilancio generale dell'Unione, la Commissione dovrebbe proporre le necessarie risorse di bilancio per la tabella dell'organico dell'ENISA, conformemente alla procedura di cui all'articolo 29 del regolamento (UE) 2019/881.

(14) Il presente regolamento prevede modifiche mirate del regolamento (UE) 2019/881 per permettere l'istituzione di sistemi europei di certificazione della cibersicurezza per i servizi di sicurezza gestiti. Nel fare ciò, specifica e chiarisce inoltre alcune disposizioni di tale regolamento relative alla preparazione e al funzionamento di tutti i sistemi europei di certificazione della cibersicurezza al fine di garantirne la trasparenza e l'apertura. Queste ultime modifiche, che si limitano a specificare o chiarire il regolamento (UE) 2019/881, in particolare le modifiche relative alle informazioni che l'ENISA deve fornire quando trasmette una proposta di sistema, quelle relative ai gruppi di lavoro ad hoc istituiti per ciascuna proposta di sistema e quelle relative all'informazione e alla consultazione in merito ai sistemi europei di certificazione della cibersicurezza, non dovrebbero in alcun modo pregiudicare la valutazione e il riesame più ampi di tale regolamento previsti a norma dell'articolo 67 dello stesso, in particolare la valutazione dell'impatto, dell'efficacia e dell'efficienza del titolo relativo al quadro di certificazione della cibersicurezza. La valutazione e il riesame di tale titolo dovrebbero basarsi su un'ampia consultazione dei portatori di interessi e su un'analisi completa e approfondita delle procedure interessate.

(15) Poiché l'obiettivo del presente regolamento, vale a dire quello di permettere l'istituzione di sistemi europei di certificazione della cibersicurezza per i servizi di sicurezza gestiti, non può essere conseguito in misura sufficiente dagli Stati membri ma, a motivo della sua portata e dei suoi effetti, può essere conseguito meglio a livello di Unione, quest'ultima può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(16) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 10 gennaio 2024

[...] Segue in allegato

Collegati

DescrizioneLinguaDimensioneDownloads
Scarica questo file (Regolamento (UE) 2025 37.pdf)Regolamento (UE) 2025/37
 
IT1005 kB5

Tags: Cybersecurity