Cibersicurezza dell'UE: strategia e politiche chiave

Strategia dell'UE in materia di cibersicurezza

Nell'ottobre 2020 i leader dell'UE hanno invitato gli Stati membri a:

• proteggere l'UE dalle minacce informatiche
• provvedere a un ambiente di comunicazione sicuro, anche attraverso la crittografia quantistica
• garantire l'accesso ai dati a fini giudiziari e di contrasto

Infatti, una risposta più forte in materia di cibersicurezza volta alla creazione di un ciberspazio aperto e sicuro può contribuire a una maggiore fiducia dei cittadini negli strumenti e nei servizi digitali. La cibersicurezza protegge le reti e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche.

• Consiglio europeo straordinario, 1 e 2 ottobre 2020

Nel dicembre 2020 la Commissione europea e il servizio europeo per l'azione esterna (SEAE) hanno presentato una nuova strategia dell'UE in materia di cibersicurezza, il cui obiettivo è rafforzare la resilienza dell'Europa di fronte alle minacce informatiche e garantire che tutti i cittadini e le imprese beneficino pienamente di servizi e strumenti digitali affidabili e attendibili.

• Strategia dell'UE in materia di cibersicurezza (servizio europeo per l'azione esterna)

Il 22 marzo 2021 il Consiglio ha adottato conclusioni sulla strategia in materia di cibersicurezza, sottolineando che la cibersicurezza è essenziale per costruire un'Europa resiliente, verde e digitale. I ministri dell'UE hanno stabilito l'obiettivo fondamentale di raggiungere l'autonomia strategica mantenendo nel contempo un'economia aperta. Ciò implica anche il rafforzamento della capacità di compiere scelte autonome nel settore della cibersicurezza, potenziando al tempo stesso la leadership digitale e le capacità strategiche dell'UE.

• Il Consiglio adotta conclusioni sulla strategia dell'UE in materia di cibersicurezza (comunicato stampa, 22 marzo 2021)

Politiche chiave dell'UE in materia di cibersicurezza

Programma per la cibersicurezza

Il 6 giugno 2025 il Consiglio ha adottato un programma dell'UE sulla gestione delle crisi di cibersicurezza.

Il programma fornisce un quadro completo e dettagliato per la gestione delle crisi informatiche a livello dell'UE, sulla base del programma per la cibersicurezza 2017.

Il programma per la cibersicurezza mira a:

• garantire una risposta efficace ed efficiente agli incidenti di cibersicurezza su vasta scala
• promuovere una cooperazione più strutturata tra attori civili e militari
• spiegare che cos'è una crisi informatica e in che modo si attiva un meccanismo di crisi informatica

• L'UE adotta un programma per gestire meglio le crisi e gli incidenti informatici (comunicato stampa, 6 giugno 2025)

Regolamento dell'UE sulla cibersolidarietà

Il 2 dicembre 2024 il Consiglio ha adottato il regolamento sulla cibersolidarietà, che stabilisce le capacità a livello dell'UE per rendere l'Europa più resiliente e reattiva di fronte alle minacce informatiche, rafforzando nel contempo i meccanismi di cooperazione.

Le nuove norme:

• istituiscono un sistema di allerta per la cibersicurezza, un'infrastruttura paneuropea costituita da poli informatici nazionali e transfrontalieri incaricati di sostenere il rilevamento delle minacce e degli incidenti informatici
• prevedono la creazione del meccanismo per le emergenze di cibersicurezza al fine di rafforzare la preparazione e proteggere i soggetti critici e i servizi essenziali, come gli ospedali e i servizi pubblici
• rafforzano la solidarietà a livello dell'UE, la gestione concertata delle crisi e le capacità di risposta in tutti gli Stati membri
• contribuiscono a garantire un panorama digitale sicuro per i cittadini e le imprese

Il regolamento sulla cibersolidarietà è entrato in vigore il 4 febbraio 2025.

• Pacchetto sulla cibersicurezza: il Consiglio adotta nuove norme per rafforzare le capacità di cibersicurezza nell'UE (comunicato stampa, 2 dicembre 2024)

Regolamento dell'UE sulla cibersicurezza

Il regolamento dell'UE sulla cibersicurezza è stato adottato dal Consiglio nell'aprile 2019 e ha introdotto:

• un sistema europeo di certificazione
• un mandato permanente e più forte per l'Agenzia dell'UE per la cibersicurezza (ENISA)

Sistemi europei di certificazione

In precedenza, i paesi dell'UE utilizzavano sistemi di certificazione della cibersicurezza differenti per i prodotti relativi alle tecnologie dell'informazione e della comunicazione (TIC), il che ha portato a una frammentazione del mercato e a ostacoli normativi. Con il regolamento sulla cibersicurezza, l'UE ha introdotto un quadro unico di certificazione in tutta l'UE volto a:

• stimolare la fiducia
• favorire la crescita del mercato della cibersicurezza
• agevolare il commercio in tutta l'UE

Il quadro fornisce un insieme completo di norme, requisiti tecnici, standard e procedure.

Nel dicembre 2024 l'UE ha adottato una modifica mirata del regolamento sulla cibersicurezza per consentire l'istituzione di sistemi di certificazione dell'UE per i "servizi di sicurezza gestiti", come la gestione degli incidenti, i test di penetrazione, gli audit di sicurezza e la consulenza relativa all'assistenza tecnica.

Agenzia dell'UE per la cibersicurezza

L'Agenzia dell'UE per la cibersicurezza (ENISA), con sede ad Atene (Grecia), si adopera per conseguire un livello comune elevato di cibersicurezza nell'UE. Sostiene gli Stati membri, le istituzioni dell'UE e altri portatori di interessi nel miglioramento della cibersicurezza e nella gestione degli attacchi informatici.

Dopo essere stata istituita nel 2004, l'ENISA è stata rafforzata dal regolamento dell'UE sulla cibersicurezza, che le ha conferito un mandato permanente, maggiori risorse e un ruolo più ampio.

Nel dicembre 2024 il Consiglio ha approvato conclusioni contenenti una serie di raccomandazioni e suggerimenti per una più forte Agenzia dell'UE per la cibersicurezza.

• Pacchetto sulla cibersicurezza: il Consiglio adotta nuove norme per rafforzare le capacità di cibersicurezza nell'UE (comunicato stampa, 2 dicembre 2024)
• ENISA: il Consiglio approva conclusioni per una più forte Agenzia dell'UE per la cibersicurezza (comunicato stampa, 6 dicembre 2024)
• Agenzia dell'Unione europea per la cibersicurezza (ENISA)

Regolamento dell'UE sulla ciberresilienza

Il regolamento sulla ciberresilienza, adottato dal Consiglio il 10 ottobre 2024, stabilisce requisiti di cibersicurezza per i prodotti con elementi digitali connessi a internet o ad altri dispositivi, il che garantisce che prodotti quali fotocamere domestiche, frigoriferi, televisori e giocattoli connessi siano sicuri prima della loro immissione sul mercato e durante tutto il loro ciclo di vita.

Il regolamento migliora inoltre la trasparenza per i consumatori, consentendo alle persone di accedere alle informazioni sulla cibersicurezza dei prodotti che acquistano e utilizzano.

• Regolamento sulla ciberresilienza: Il Consiglio adotta un nuovo regolamento sui requisiti di sicurezza per i prodotti digitali

Direttiva sulla sicurezza delle reti e dei sistemi informativi

La direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS) è stata la prima normativa in assoluto per tutta l'UE volta ad accrescere la cooperazione tra gli Stati membri in materia di cibersicurezza. Introdotta nel 2016, ha definito obblighi di sicurezza per gli operatori di servizi essenziali (in settori critici come l'energia, i trasporti, la sanità e la finanza) e i fornitori di servizi digitali (mercati online, motori di ricerca e servizi cloud).

Nel 2022 l'UE ha adottato una direttiva NIS riveduta (NIS 2) per sostituire la direttiva del 2016. Le nuove norme garantiscono un livello comune elevato di cibersicurezza nell'Unione in risposta al panorama di minacce in evoluzione e tengono in considerazione la trasformazione digitale, che è stata accelerata dalla pandemia di COVID-19.

La direttiva NIS 2:

• stabilisce nuove norme minime per un quadro normativo
• definisce meccanismi per una cooperazione efficace tra le autorità competenti di ciascun paese dell'UE
• aggiorna l'elenco dei settori e delle attività soggetti agli obblighi in materia di cibersicurezza
• gestisce gli incidenti di cibersicurezza (link al GDPR)

Gli Stati membri avevano tempo fino all'ottobre 2024 per recepire e attuare pienamente la direttiva NIS 2.

• L'UE decide di rafforzare la cibersicurezza e la resilienza in tutta l'Unione: il Consiglio adotta una nuova normativa

Pacchetto di strumenti dell'UE sulle reti 5G

Le reti 5G sono essenziali non solo per la comunicazione digitale, ma anche per settori critici quali l'energia, i trasporti, il settore bancario e la sanità.

Inoltre, il 5G è una risorsa chiave perché l'Europa sia competitiva sul mercato globale e la sua cibersicurezza è cruciale per garantire l'autonomia strategica dell'Unione.

Nel gennaio 2020 l'UE ha concordato un pacchetto di strumenti per individuare possibili misure comuni tese ad attenuare i principali rischi per la cibersicurezza delle reti 5G e per fornire orientamenti.

• Importanza e rischi per la sicurezza della tecnologia 5G - Il Consiglio adotta conclusioni
• Reti 5G sicure: domande e risposte sul pacchetto di strumenti dell'UE

Finanziamento e ricerca

L'UE si sta adoperando su diversi fronti per rafforzare la ciberresilienza, proteggere le comunicazioni e i dati e rendere sicure la nostra società e la nostra economia online, anche sostenendo la ricerca e aumentando i finanziamenti destinati all'innovazione nel settore della cibersicurezza.

Europa digitale

Nel quadro del programma Europa digitale per il periodo 2021-2027, l'UE si è impegnata a investire 1,6 miliardi di euro in capacità di cibersicurezza e nell'ampia diffusione di infrastrutture e strumenti per la cibersicurezza in tutta l'UE a favore di pubbliche amministrazioni, imprese e singoli cittadini.

• Il programma Europa digitale ottiene il via libera dal Consiglio (comunicato stampa, 16 marzo 2021)
• L'Europa investe nel digitale: il programma Europa digitale (Commissione europea)

Orizzonte Europa

È essenziale trovare soluzioni innovative che possano proteggerci dalle più recenti e più avanzate minacce informatiche. Per questo motivo la cibersicurezza è un aspetto importante dei programmi quadro di finanziamento dell'UE in materia di ricerca e innovazione, Orizzonte 2020 e il suo successore Orizzonte Europa. Nel maggio 2020 l'UE ha impegnato 49 milioni di euro per promuovere l'innovazione dei sistemi di cibersicurezza e di tutela della privacy.

• Orizzonte Europa
• L'UE stanzia quasi 49 milioni di euro per promuovere l'innovazione dei sistemi di cibersicurezza e di tutela della privacy (comunicato stampa della Commissione europea, 20 maggio 2020)

Programma per il decennio digitale 2030

La sicurezza digitale si basa sulla disponibilità di un numero sufficiente di esperti con le giuste competenze. Attualmente vi è una carenza significativa, per cui l'UE sta investendo attivamente nello sviluppo di competenze in materia di cibersicurezza.

Il programma per il decennio digitale 2030 sostiene gli investimenti in settori chiave quali il calcolo ad alte prestazioni, l'infrastruttura e i servizi comuni per i dati, la blockchain, i processori a basso consumo, la diffusione paneuropea dei corridoi 5G, i partenariati di alta tecnologia per le competenze digitali, l'infrastruttura quantistica sicura, una rete dei centri per la cibersicurezza, la pubblica amministrazione digitale, gli impianti di prova e i poli di innovazione digitale.

• Via libera del Consiglio al Centro di competenza per la cibersicurezza con sede a Bucarest (comunicato stampa, 20 aprile 2021)
• Centro e rete europei di competenza per la cibersicurezza

Centro di competenza per la cibersicurezza

Nell'aprile 2021 il Consiglio ha adottato il regolamento che istituisce il Centro europeo di competenza per la cibersicurezza nell'ambito industriale, tecnologico e della ricerca a Bucarest (Romania), sostenuto da una rete di centri nazionali di coordinamento.

Il Centro mira a:

• migliorare ulteriormente la ciberresilienza
• contribuire alla diffusione delle tecnologie più recenti nel settore della cibersicurezza
• sostenere le start-up e le PMI del settore della cibersicurezza
• rafforzare la ricerca e l'innovazione in materia di cibersicurezza
• contribuire a colmare il divario di competenze in materia di cibersicurezza