Nuove norme sulla sicurezza delle informazioni
Proposta di un regolamento sulla sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'Unione
Contesto
A causa del numero sempre crescente di informazioni sensibili non classificate e di informazioni classificate UE ("ICUE") che le istituzioni, gli organi e gli organismi dell'Unione devono condividere tra loro e considerando il drammatico sviluppo del panorama delle minacce, l'amministrazione europea è esposta ad attacchi in tutti i suoi settori di attività. Le informazioni trattate dalle istituzioni, dagli organi e dagli organismi dell'Unione hanno un elevato valore per molti soggetti che rappresentano una minaccia e vanno adeguatamente protette.
Gli Stati membri hanno già invitato le nostre istituzioni a procedere in questa direzione. Un elemento fondamentale dell’agenda strategica 2019-2024, adottata dal Consiglio europeo nel giugno 2019 consiste nel proteggere le nostre società dalle minacce, in continua evoluzione, che incombono sulle informazioni trattate dallamministrazione europea. Nelle sue conclusioni, il Consiglio europeo ha invitato "le istituzioni dell'UE, insieme agli Stati membri, a lavorare a misure volte a rafforzare la resilienza e a migliorare la cultura della sicurezza dell'UE contro le minacce informatiche e ibride provenienti dall'esterno dell'UE, nonché a proteggere meglio le reti di informazione e comunicazione dell'UE e i suoi processi decisionali da attività dolose di ogni tipo".
Nel luglio 2020 la Commissione ha adottato la strategia dell'UE per l'Unione della sicurezza, con la quale si è impegnata a integrare gli sforzi nazionali nel settore della sicurezza. Rientra in tale impegno l'iniziativa volta ad armonizzare i quadri giuridici interni per la sicurezza delle informazioni in tutte le istituzioni, gli organi e gli organismi dell'Unione.
Obiettivi
L'obiettivo generale della presente proposta è creare una serie standard di norme di alto livello in materia di sicurezza delle informazioni per tutte le istituzioni, gli organi e gli organismi dell'Unione, al fine di garantire un livello più elevato e coerente di protezione contro l'evoluzione delle minacce alle loro informazioni.
L'obiettivo generale si traduce in quattro obiettivi specifici:
- stabilire categorie di informazioni armonizzate e complete sulla base del livello di riservatezza;
- individuare le lacune in materia di sicurezza e attuare le misure necessarie;
- istituire un forum efficiente per la cooperazione sulla sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'Unione;
- modernizzare le politiche in materia di sicurezza delle informazioni, tenendo conto di tendenze attuali come la trasformazione digitale e il lavoro a distanza.
Domande e risposte
Perché la Commissione propone un regolamento sulla sicurezza delle informazioni nelle istituzioni, negli organi e negli organismi dell'Unione?
Le istituzioni, gli organi e gli organismi dell'Unione dispongono attualmente di proprie norme in materia di sicurezza delle informazioni o non le hanno affatto adottate. La frammentazione del quadro giuridico applicabile ha portato a notevoli differenze tra i livelli di sicurezza che tali organizzazioni possono garantire per le informazioni che gestiscono. Questa situazione aumenta il rischio che gli aggressori violino la sicurezza nell'anello più debole e utilizzino tale situazione come punto di partenza per ulteriori attacchi contro altre istituzioni o organismi.
Creando un insieme unico di norme in materia di sicurezza delle informazioni in tutte le istituzioni, gli organi e gli organismi dell'Unione, la Commissione propone una base comune di standard elevati per la protezione delle informazioni trattate. Inoltre, le norme armonizzate faciliteranno lo scambio di informazioni tra le istituzioni, gli organi e gli organismi, nonché con gli Stati membri.
A chi si applicherà il regolamento proposto?
La presente proposta stabilisce le norme applicabili all'amministrazione dell'Unione (istituzioni, organi e organismi). Può imporre indirettamente obblighi alle persone che svolgono compiti per conto di tale amministrazione o su base contrattuale (esclusi i commissari, i rappresentanti degli Stati membri che agiscono in sede di Consiglio, i membri del Parlamento europeo, i giudici degli organi giurisdizionali dell'Unione o i membri della Corte dei conti europea).
La presente proposta di regolamento non si applica agli Stati membri.
Quali categorie di informazioni sono contemplate dalla presente proposta di regolamento?
La presente proposta riguarda le informazioni non classificate e le informazioni classificate UE e si applica ai seguenti livelli di riservatezza:
- tre livelli di informazioni non classificate: uso pubblico, normale e sensibile non classificato;
- quattro livelli di ICUE: RESTREINT UE/EU RESTRICTED, CONFIDENTIEL UE/EU RISERVATO, SECRET UE/EU SECRET, TRES SECRET UE/EU TOP SECRET.
Le norme proposte saranno riesaminate?
Ogni 5 anni dalla data di inizio dell'applicazione, la Commissione esaminerà il regolamento al fine di valutarne gli effetti effettivi e la necessità di ulteriori azioni.
Inoltre la Commissione presenterà periodicamente al Parlamento europeo e al Consiglio una relazione sull’attuazione del regolamento.
Quali sono i prossimi passi?
La proposta della Commissione seguirà il processo legislativo ordinario in seno al Parlamento europeo e al Consiglio per l'adozione.
La riunione informale dei ministri delle Telecomunicazioni tenutasi a Nevers il 9 marzo 2022 ha invitato "le istituzioni, gli organismi e gli organi dell'UE a rafforzare ulteriormente la loro sicurezza informatica e dell'informazione, in quanto l'UE è diventata un attore strategico fondamentale il cui ruolo sulla scena internazionale richiede di proteggere i suoi dati e le sue reti dalle minacce informatiche".
Documenti
Impact analysis accompanying the proposal
JRC study on information security in the age of EU institutions digitalisation
Link correlati
The EU Security Union Strategy: European Security Union
Decisioni della Commissione
La strategia dell'UE per l'Unione della sicurezza Unione europea della sicurezza | Commissione europea (europa.eu)
L'obiettivo della sicurezza in seno alla Commissione è consentire alla Commissione di operare in un ambiente sicuro. La Commissione deve pertanto garantire la sicurezza delle persone, dei beni e delle informazioni in seno alla Commissione sulla base della decisione (UE, Euratom) 2015/443 della Commissione sulla sicurezza nella Commissione e della decisione (UE, Euratom) 2015/444 della Commissione sulle norme di sicurezza per proteggere le informazioni classificate UE. Ciò comprende in particolare l'integrità fisica delle persone e dei beni, l'integrità, la riservatezza e la disponibilità di informazioni e sistemi di comunicazione e informazione, nonché il funzionamento senza ostacoli delle operazioni della Commissione.
In tale contesto, la Commissione potrebbe dover trattare dati personali. Tali attività di trattamento avvengono in conformità del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione 1247/2002/CE (testo rilevante ai fini del SEE).
Le informative sulla privacy relative alle procedure di sicurezza sono elencate di seguito:
Documents
- Scaricafrançais(731.92 KB - PDF)
- Scaricafrançais(495.62 KB - PDF)