Panorama Assicurativo Ania

🇪🇺 Cyber risk

‘CYBER SOLIDARITY ACT’ E ‘CYBER RESILIENCE ACT’: L’IMPEGNO DELL’EUROPA SUL FRONTE DELLA SICUREZZA INFORMATICA

“Cyber Resilience Act enters into force to make Europe's cyberspace safer and more secure” (PRESS RELEASE - Dec. 10, 2024) “Cyber Resilience Act”, WEBPAGE DI RIFERIMENTO e LINK CORRELATI (“Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) 2019/1020 and Directive (EU) 2020/1828 - CYBER RESILIENCE ACT”) Document 32024R2847 - OJ L, 2024/2847, 20.11.2024 “Cybersecurity package: Council adopts new laws to strengthen cybersecurity capacities in the EU” (PRESS RELEASE - Dec. 02, 2024) “EU Cyber Solidarity Act” , WEBPAGE DI RIFERIMENTO e LINK CORRELATI (“REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cyber threats and incidents and amending Regulation (EU) 2021/694 - CYBER SOLIDARITY ACT”) Brussels, 20 November 2024 - 2023/0109(COD)

EUROPEAN COMMISSION
https://ec.europa.eu/

COUNCIL OF EUROPE
https://www.consilium.europa.eu

EUROPEAN COMMISSION - “Cyber Resilience Act”, Link alla PRESS RELEASE (Dec. 10, 2024)

EUROPEAN COMMISSION - “Cyber Resilience Act”, WEBPAGE DI RIFERIMENTO (E LINK CORRELATI)

COUNCIL OF EUROPE - “EU Cyber Solidarity Act” , Link alla PRESS RELEASE (Dec. 02, 2024)

EUROPEAN COMMISSION - “EU Cyber Solidarity Act” , WEBPAGE DI RIFERIMENTO (E LINK CORRELATI)


Nella prima decade di dicembre sono stati compiuti passi importanti, a livello europeo, per rafforzare la sicurezza informatica: si tratta del “via libera” finale - da parte del Consiglio europeo - al Cyber Solidarity Act e dell’entrata in vigore del Cyber Resilience Act.

Con riguardo al Cyber Solidarity Act, le norme sono volte a rendere l'Unione più resiliente di fronte alle minacce informatiche, rafforzando, nel contempo, i meccanismi di cooperazione. Istituiscono, tra l'altro, un "sistema di allerta per la sicurezza informatica", ossia un'infrastruttura pan-europea composta da cyber-hubs nazionali e transfrontalieri su tutto il territorio UE. Si tratta, nello specifico, di entità incaricate di (I) condividere informazioni e (II) di rilevare/agire opportunamente in caso di minacce informatiche. I cyber-hubs utilizzeranno tecnologie all'avanguardia, come l'intelligenza artificiale (IA) e l'analisi avanzata dei dati, per rilevare e condividere tempestivamente alert riguardanti minacce informatiche e incidenti. Ciò permetterà alle Autorità competenti di rispondere in modo più efficiente ed efficace ai cyber incidents. Il Cyber Solidarity Act prevede anche la creazione di un meccanismo di emergenza per la sicurezza informatica per aumentare la preparazione e migliorare le capacità di risposta ai cyber-incidenti, che ha il compito di sostenere (I) azioni di preparazione, soprattutto in settori altamente critici (sanità, trasporti, energia); (II) una nuova cybersecurity reserve, composta da “incident response services” da parte del settore privato (intervento su richiesta di uno Stato membro o delle Istituzioni europee in caso di incidente cyber significativo/su larga scala); (III) assistenza tecnica reciproca.

Da ultimo, il Cyber Solidarity Act istituisce un meccanismo di “revisione degli incidenti” (incident review mechanism) per valutare, tra le altre cose, l'efficacia delle azioni nell'ambito della procedura di emergenza e della riserva di sicurezza informatica.

Il Cyber ​​Resilience Act (CRA) è la prima normativa UE che impone requisiti obbligatori di sicurezza informatica per i prodotti che includono elementi digitali. Le norme, in particolare, introducono maggiori responsabilità a carico dei produttori, per garantire la sicurezza dei prodotti hardware e software; si tratta di nuovi obblighi per i produttori di fornire aggiornamenti software in grado di correggere eventuali vulnerabilità di sicurezza e di offrire supporto ai consumatori. I prodotti recheranno la marcatura “CE” per indicare che sono conformi a tali requisiti e i principali obblighi che scaturiscono dalla nuova normativa si applicheranno dall'11 dicembre 2027. Infine, si sottolinea che  il  Cyber ​​Resilience Act completa il “NIS2 Cybersecurity Framework”, entrato in vigore nel 2023(1).

____________________

(1) Sul punto, si veda: 
“Finanza digitale e cybersecurity: il regolamento “DORA” e la direttiva “NIS2” pubblicati in GUUE”,
in Panorama Assicurativo n. 232,  febbraio 2023 (Sezione “UNIONE EUROPEA”)
https://www.panoramassicurativo.ania.it/newsletter/84229/articolo/84692