È di 36 milioni di euro il contributo che la Commissione europea, attraverso un accordo con Enisa, l’Agenzia Unione europea per la Cybersecurity, dal Programma Europa Digitale (DEP) destinerà al rafforzamento della cyber resilienza degli Stati membri della UE e dei Paesi terzi che fanno parte, appunto, del programma DEP.

L’operazione risponde al regolamento sulla solidarietà cyber dettato dall’EU Cyber Solidarity Act.

Un contributo per la resilienza cyber

Con questo contributo, che sarà distribuito in tre anni, si favoriranno servizi di risposta agli incidenti informatici importanti e su larga scala, attraverso fornitori affidabili, che colpiranno Stati membri dell’Unione europea, istituzioni, organi e agenzie dell’Unione e paesi terzi del Programma Europa Digitale. Enisa si occuperà di monitorare appalti e gestione dei servizi.

Come previsto dalla direttiva NIS 2, la riserva sarà a disposizione di soggetti appartenenti a settori critici come sanità o energia.

Il programma DEP

Il Digital Europe Programme (Programma Europa Digitale, DEP), è un programma di finanziamento europeo, interno al bilancio a lungo termine dell’Ue, il quadro finanziario pluriennale 2021-2027, finalizzato all’introduzione della tecnologia digitale in aziende, amministrazioni pubbliche e vita dei cittadini, che, a seguito della pandemia Covid-19, e ancora di più dello scoppio del conflitto russo-ucraino, ha risposto alla necessità dell’Europa di avere sistemi e soluzioni tecnologiche interne all’Unione e di potenziare le catene di approvvigionamento digitali, ancora troppo vulnerabili, investendo sulla sicurezza informatica europea.

I settori chiave a cui è rivolto il programma sono: supercalcolo, intelligenza artificiale, sicurezza informatica, competenze digitali avanzate, diffusione dell’uso delle tecnologie digitali a tutta la società, piccole e medie imprese, pubblica amministrazione, semiconduttori (area aggiunta nel 2023, nell’ambito
del Chips Act, per fronteggiarne la carenza, attraverso l’iniziativa Chips for Europe).

Il programma Digital condivide gli obiettivi con altri programmi europei, come Orizzonte Europa (Horizon, per la ricerca e l’innovazione), il meccanismo per collegare l’Europa (per le infrastrutture digitali), il dispositivo per la ripresa e la resilienza e i fondi strutturali, solo per citarne alcuni”.

Inoltre, fa parte anche dell’iniziativa Piattaforma per le tecnologie strategiche per l’Europa (STEP), che ha lo scopo di migliorare la competitività industriale e la sovranità europea nel campo delle tecnologie critiche.

Il regolamento sulla cyber sicurezza

Adottato nel 2019, il regolamento sulla cyber sicurezza ha conferito all’Enisa il potere di contribuire alla cooperazione operativa e la gestione delle crisi in tutta l’Unione europea.

Inoltre ha istituito il quadro europeo di certificazione della cyber sicurezza (ECCF), con requisiti comuni in materia di cyber sicurezza e criteri di valutazione dei prodotti, servizi e processi TIC.

L’11 aprile di quest’anno è stata avviata dalla Commissione una consultazione pubblica per rivedere e aggiornare il regolamento.

Regolamento sulla cyber resilienza

In vigore dal 10 dicembre 2024, il regolamento sulla resilienza cyber stabilisce i requisiti specifici e comuni di cyber sicurezza dei prodotti che contengono elementi digitali, sia hardware che software.

Inoltre, tutti i produttori sono obbligati a garantire che i prodotti siano sicuri dalla progettazione, per impostazione predefinita e per tutto il ciclo di vita.

Il regolamento sulla cyber solidarietà

Il 4 febbraio 2025 è entrato in vigore il regolamento sulla cyber solidarietà per migliorare la preparazione, il rilevamento e la risposta agli incidenti di cyber sicurezza in Unione europea, l’EU Cyber Solidarity Act, che include lo European Cybersecurity Alert System, composto dai centri operativi di sicurezza interconnessi in tutta l’Unione, i Security Operation Centre, e il Cybersecurity Emergency Mechanism.

Quest’ultimo si occupa di garantire il miglioramento della preparazione e della risposta agli incidenti informatici e agisce su tre ambiti:

• sostegno alle azioni di preparazione, che prevedono di individuare eventuali punti deboli che favoriscono le minacce informatiche, in settori cruciali come finanza, sanità e energia;
• garanzia di assistenza reciproca tra Stati membri, secondo cui lo Stato membro che offre assistenza a quello colpito da un attacco di sicurezza informatica riceve sostegno dal meccanismo;
• la riserva UE per la sicurezza informatica, per i servizi di risposta agli incidenti forniti da prestatori privati e affidabili.

Il ruolo di Enisa nell’accordo sulla cyber resilienza con la UE

L’accordo firmato con la Commissione europea affida a Enisa l’acquisizione dei servizi necessari, la valutazione delle richieste provenienti dalle autorità nazionali e dal CERT-UE e del coordinamento con la Commissione e con la rete EU-CyClone per assicurare che il meccanismo di supporto si attivi in maniera semplice e veloce.

Importante sottolineare che se i servizi attivati non vengono utilizzati per la isposta agli incidenti informatici possono essere ribaltati su altre attività di prevenzione e preparazione, così che le risorse europee mantengano la loro efficacia.

Il Direttore esecutivo di Enisa, Juhan Lepassaar, in merito al nuovo accordo ha dichiarato: “L’incarico di realizzare un progetto così importante pone l’Enisa sotto i riflettori come partner affidabile per la comunità europea della sicurezza informatica e le consente di aprire nuove strade verso un mercato unico digitale ancora più sicuro dal punto di vista informatico”.

I Managed Security Services (MSS)

Nel frattempo, a seguito di una richiesta della Commissione europea, l’Enisa ha iniziato a preparare un progetto di schema europeo di certificazione della sicurezza informatica sui Managed Security Services (MSS), i servizi di sicurezza gestiti.

Con l’entrata in vigore del Cyber Solidarity Act nel febbraio 2025, il primo obiettivo dello schema MSS sarà quello di fornire servizi di risposta agli incidenti che i fornitori di MSS erogheranno attraverso la Riserva Ue per la sicurezza informatica.

I fornitori di MSS dovranno certificare i propri servizi due anni dopo l’entrata in vigore dello schema.