Il Regolamento (UE) 2025/38 (anche noto come “cyber solidarity act”, o “Regolamento sulla cibersolidarietà”) definitivamente approvato lo scorso 19 dicembre è stato ora pubblicato nella Gazzetta Ufficiale dell’Unione Europea.
Abbiamo seguito su questo portale tutto l’iter (premere qui per vedere le varie tappe) di questo nuovo regolamento che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione Europea di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il Regolamento (UE) 2021/694, è giunto quindi il momento di capire bene di cosa stiamo parlando.
Cominciamo col dire che tale testo normativo rappresenta un avanzamento strategico nella costruzione di una resilienza informatica condivisa tra gli Stati membri. La crescente sofisticazione delle minacce informatiche e la loro dimensione transfrontaliera impongono un approccio coordinato e solidale. Il regolamento introduce misure volte a rafforzare la capacità di rilevamento, prevenzione e risposta agli incidenti cibernetici su vasta scala.
In particolare l’Unione Europea ha riconosciuto l’esigenza di potenziare la cooperazione nel settore della cibersicurezza, soprattutto alla luce dell’intensificarsi degli attacchi informatici ai danni di infrastrutture critiche, servizi pubblici ed entità economiche. Il Regolamento 2025/38 si inserisce quindi in questo quadro con l’obiettivo di:
- creare una rete paneuropea di poli informatici per il rilevamento e la condivisione delle minacce;
- istituire un meccanismo di emergenza per sostenere gli Stati membri nella gestione delle crisi informatiche;
- rafforzare la capacità di risposta attraverso una riserva europea per la cibersicurezza.
Il regolamento introduce strumenti operativi per rafforzare la sicurezza digitale dell’Unione. Tra le misure più significative si evidenziano:
- sistema europeo di allerta per la cibersicurezza: una rete di poli informatici transfrontalieri che consente il rilevamento avanzato e la condivisione delle informazioni sulle minacce, migliorando la conoscenza situazionale dell’UE;
- meccanismo per le emergenze di cibersicurezza: un fondo dedicato per la risposta rapida agli attacchi informatici di ampia portata, volto a mitigare gli effetti sugli Stati membri colpiti;
- riserva dell’UE per la cibersicurezza: un’iniziativa che prevede la messa a disposizione di servizi di sicurezza gestiti da operatori privati accreditati, per sostenere gli Stati membri e le istituzioni dell’Unione nella gestione degli incidenti informatici;
- obblighi di cooperazione tra pubblico e privato: il regolamento impone agli Stati membri di designare poli informatici nazionali che fungano da snodo per la raccolta e condivisione delle informazioni con i settori pubblico e privato.
L’attuazione del regolamento comporta oneri e responsabilità per gli Stati membri, chiamati a:
- designare poli informatici nazionali e coordinarsi con i poli transfrontalieri;
- partecipare attivamente al meccanismo di emergenza e alla riserva europea per la cibersicurezza;
- garantire il rispetto delle nuove norme in materia di protezione dei dati e scambio di informazioni.
Sebbene il regolamento costituisca un passo avanti, permangono alcune criticità:
- interoperabilità dei sistemi: l’efficacia del sistema di allerta dipende dalla capacità di armonizzare strumenti e protocolli tra Stati membri;
- tutela della sovranità nazionale: alcune misure potrebbero essere percepite come un’ingerenza nelle competenze nazionali in materia di sicurezza;
- adeguatezza delle risorse: l’allocazione di fondi e la capacità di risposta dipenderanno dall’effettiva implementazione e gestione dei finanziamenti previsti.
In definitiva il Regolamento (UE) 2025/38 sembra rappresentare un importante progresso nella costruzione di una strategia comune di difesa cibernetica, ma vi è un po’ di scettiscismo in merito alla sua attuazione che richiederà un forte impegno da parte degli Stati membri e una stretta collaborazione tra enti pubblici e privati, che al momento sembrerebbe quasi utopistica. L’intento del legislatore è comunque quello di far divenire la cibersolidarietà un pilastro imprescindibile della sicurezza europea, fondamentale per proteggere infrastrutture critiche e garantire la continuità operativa in un contesto digitale sempre più esposto a minacce globali. Staremo a vedere.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Intelligenza artificiale e protezione dei dati personali: valutazione dei bias e attuazione dei diritti degli interessati - 24 Gennaio 2025
- Pseudonimizzazione dei dati personali: nuove linee guida dell’ EDPB - 17 Gennaio 2025
- Sinergie tra protezione dei dati e diritto della concorrenza: la nuova direzione dell’EDPB - 17 Gennaio 2025
- Pubblicato in Gazzetta Ufficiale Il Regolamento sulla cibersolidarietà - 16 Gennaio 2025
- Sulla tempestività della richiesta di rimessione in termini in caso di mancato perfezionamento del deposito telematico - 7 Gennaio 2025
