Legislatura 19ª - 4ª Commissione permanente - Resoconto sommario n. 67 del 05/07/2023

ESAME DI PROGETTI DI ATTI LEGISLATIVI DELL'UNIONE EUROPEA

Proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) 2019/881 per quanto riguarda i servizi di sicurezza gestiti (COM(2023) 208 definitivo)

(Esame, ai sensi dell'articolo 144, commi 1-bis e 6, del Regolamento, e rinvio)

La senatrice MURELLI (LSP-PSd'Az), relatrice, introduce l'esame della proposta di regolamento in titolo, che modifica il regolamento (UE) 2019/881, relativo all'ENISA (l'Agenzia dell'Unione europea per la cibersicurezza) e al sistema di certificazione della cibersicurezza per i prodotti informatici TIC (tecnologie dell'informazione e della comunicazione), ovvero il "regolamento sulla cibersicurezza" entrato in vigore il 12 giugno 2021.

Essa è complementare alla proposta di "regolamento sulla cibersolidarietà" COM(2023) 209, che disciplina le modalità di costituzione della "riserva per la cibersicurezza" a livello di Unione europea.

La proposta in esame provvede quindi, attraverso futuri atti di esecuzione della Commissione, ad estendere anche ai "servizi di sicurezza gestiti", il sistema europeo di certificazione della cibersicurezza, già previsto per i prodotti TIC, i servizi TIC e i processi TIC.

I "servizi di sicurezza gestiti" sono definiti come i servizi di gestione del rischio in materia di cibersicurezza, tra i quali rientrano i servizi di risposta agli incidenti, i test di penetrazione, gli audit di sicurezza e consulenza, o la fornitura di assistenza per tali attività. Si tratta di servizi di gestione dei rischi, che ricoprono un ruolo sempre più importante nella prevenzione e attenuazione degli incidenti di cibersicurezza.

I fornitori dei "servizi di sicurezza gestiti" sono pertanto considerati soggetti essenziali di un settore ad alta criticità, ai sensi della direttiva NIS 2 (network and information security), la direttiva (UE) 2022/2555 relativa a un livello comune elevato di cibersicurezza nell'Unione, poiché svolgono un ruolo particolarmente importante nell'assistere i soggetti nei loro sforzi di prevenzione e di rilevamento degli incidenti, nonché la risposta agli stessi o di ripresa da essi. I fornitori di servizi di sicurezza gestiti sono stati tuttavia essi stessi bersaglio di attacchi informatici ed è pertanto necessario assicurare e certificare una loro maggiore resilienza a fronte di tali attacchi.

Alcuni Stati membri hanno già iniziato ad adottare sistemi di certificazione per i servizi di sicurezza gestiti, con il conseguente rischio crescente di frammentazione del mercato interno di tali servizi, a causa delle incoerenze nei sistemi di certificazione della cibersicurezza dei diversi Stati membri. La proposta quindi prevede la creazione di un sistema europeo di certificazione della cibersicurezza per questi servizi, al fine di prevenire tale frammentazione.

La base giuridica è individuata nell'articolo 114 del Trattato sul funzionamento dell'Unione europea (TFUE), sul ravvicinamento delle legislazioni nazionali in materia di funzionamento del mercato interno, che è la medesima del regolamento sulla cibersicurezza oggetto di modifica.

La Commissione ritiene che il principio di sussidiarietà sia rispettato in quanto l'obiettivo di rendere possibile l'adozione di sistemi europei di certificazione della cibersicurezza per i servizi di sicurezza gestiti e di evitare la frammentazione del mercato interno non può essere conseguito a livello nazionale, ma solo a livello di Unione. Inoltre, i servizi di sicurezza gestiti, oggetto della modifica proposta, sono offerti da fornitori che sono attivi in tutta l'Unione, così come i loro maggiori clienti potenziali. Un intervento a livello di Unione è pertanto necessario e più efficace rispetto a un'azione a livello nazionale.

In merito al rispetto del principio di proporzionalità, la Commissione ritiene che la proposta prevede disposizioni limitate a quanto strettamente necessario per conseguire l'obiettivo di estendere la certificazione della cibersicurezza anche ai servizi di sicurezza gestiti.

La proposta si compone di due articoli. L'articolo 1 contiene modifiche mirate, volte a modificare l'ambito di applicazione del quadro europeo di certificazione della cibersicurezza, al fine di includere i "servizi di sicurezza gestiti" (articoli 1 e 46 del regolamento sulla cibersicurezza).

Introduce una definizione di tali servizi, strettamente allineata alla definizione di "fornitori di servizi di sicurezza gestiti" di cui alla direttiva NIS 2 (articolo 2 del regolamento sulla cibersicurezza). Aggiunge, inoltre, un nuovo articolo, l'articolo 51-bis, relativo agli obiettivi di sicurezza della certificazione europea della cibersicurezza adeguati ai "servizi di sicurezza gestiti". Infine, la proposta contiene varie modifiche tecniche per garantire che i pertinenti articoli si applichino anche ai "servizi di sicurezza gestiti".

L'articolo 2 riguarda l'entrata in vigore.

Il termine delle 8 settimane, previste dal Protocollo n. 2 allegato ai Trattati, per l'esame della sussidiarietà, scadrà il 21 luglio 2023.

La proposta è attualmente oggetto di esame da parte di 11 Camere dei Parlamenti nazionali dell'UE, che non hanno finora sollevato criticità.

La Camera dei deputati ceca ha concluso l'iter con una risoluzione in cui sostiene i dubbi e le obiezioni del Governo ceco al progetto. Sottolinea in particolare che le norme e gli obblighi che ne derivano devono rispettare i principi di sussidiarietà e proporzionalità ed esprime dubbi sulla condivisione di informazioni sensibili, che è subordinata all'assistenza del meccanismo di emergenza per la sicurezza informatica; ritiene, infine, criticabile che per tale proposta di regolamento non sia stata preparata una valutazione d'impatto sulla Repubblica ceca.

Lo scorso 22 giugno è pervenuta la relazione del Governo ai sensi dell'articolo 6 della legge n. 234 del 2012, elaborata dall'Agenzia per la cybersicurezza nazionale, di cui si darà conto nel prosieguo dell'esame.

La Relatrice sottolinea, quindi, l'importanza della materia e la necessità di promuovere la formazione e la consapevolezza in merito. Chiede quindi la possibilità che la Commissione svolga gli opportuni approfondimenti, anche considerando che gli attacchi alla cibersicurezza, secondo recenti stime, sarebbero cresciuti del 70 per cento nel 2022.

La senatrice ROJC (PD-IDP) si associa alla richiesta di approfondimenti, ritenendo la cibersicurezza un tema delicato per la sicurezza dei cittadini e delle istituzioni del nostro Paese.

Il PRESIDENTE ritiene utile, nelle prossime settimane, proseguire il lavoro sul tema della cibersicurezza, anche tenuto conto che sulla proposta è pervenuta la relazione del Governo.

Il seguito dell'esame è quindi rinviato.

Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'Unione di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi (COM(2023) 209 definitivo)

(Esame, ai sensi dell'articolo 144, commi 1-bis e 6, del Regolamento e rinvio)

La senatrice MURELLI (LSP-PSd'Az), relatrice, introduce l'esame della proposta di "regolamento sulla cibersolidarietà" (cosiddetto Cyber Solidarity Act), che stabilisce misure intese a rafforzare la solidarietà e le capacità dell'Unione di rilevamento delle minacce e degli incidenti di cibersicurezza, e di preparazione e risposta agli stessi, attraverso la realizzazione di un "ciberscudo" europeo, la creazione di un meccanismo per le emergenze di cibersicurezza e l'istituzione di un meccanismo di riesame degli incidenti di cibersicurezza.

Gli attuali crescenti rischi di cibersicurezza e un panorama di minacce globalmente complesso, con il chiaro rischio di rapida propagazione di incidenti informatici da uno Stato membro all'altro e da un Paese terzo all'Unione, richiedono una solidarietà rafforzata a livello di Unione per migliorare il rilevamento delle minacce e degli incidenti di cibersicurezza, nonché la preparazione e la risposta agli stessi.

In considerazione del rapido evolversi del panorama delle minacce, il rischio di possibili incidenti su vasta scala, che possono provocare interruzioni o danni significativi a infrastrutture critiche, richiede una maggiore preparazione a tutti i livelli del quadro di cibersicurezza dell'Unione. Tale minaccia va oltre l'aggressione militare della Russia nei confronti dell'Ucraina ed è destinata a persistere. Peraltro, gli incidenti di cibersicurezza sono imprevedibili, in quanto spesso si verificano ed evolvono in periodi di tempo molto brevi, non sono circoscritti a una determinata zona geografica e si verificano simultaneamente o si diffondono istantaneamente in numerosi Paesi.

La proposta in esame rientra nel quadro della "Strategia dell'UE in materia di cibersicurezza per il decennio digitale", adottata nel dicembre 2020, ed è complementare alla proposta di regolamento COM(2023) 208, che consentirà la futura adozione di sistemi di certificazione europei per i "servizi di sicurezza gestiti".

La base giuridica della proposta è individuata nell'articolo 173, paragrafo 3, del Trattato sul funzionamento dell'Unione europea (TFUE), il quale dispone che l'Unione e gli Stati membri provvedono affinché siano assicurate le condizioni necessarie alla competitività dell'industria dell'Unione. La proposta si basa anche sull'articolo 322, paragrafo 1, lettera a), TFUE, che consente di adottare regole finanziarie sulla formazione ed esecuzione del bilancio UE, in quanto essa contiene norme specifiche in materia di riporto che derogano al principio dell'annualità di cui al regolamento finanziario ordinario.

La Commissione ritiene che il principio di sussidiarietà sia rispettato, in quanto la forte natura transfrontaliera delle minacce alla cibersicurezza e il numero crescente di rischi e incidenti fanno sì che gli obiettivi del presente intervento non possano essere raggiunti efficacemente dagli Stati membri singolarmente e richiedano dunque un'azione comune e solidale a livello di Unione.

L'esperienza di contrasto alle minacce informatiche derivanti dalla guerra contro l'Ucraina, unitamente agli insegnamenti tratti da un'esercitazione di cibersicurezza condotta nell'ambito della Presidenza europea francese (EU CyCLES), ha dimostrato che è opportuno sviluppare meccanismi concreti di sostegno reciproco, in particolare la cooperazione con il settore privato, per realizzare la solidarietà a livello di UE.

In merito al rispetto del principio di proporzionalità, la Commissione ritiene che le azioni previste dal regolamento lasciano impregiudicate le competenze degli Stati membri in materia di sicurezza nazionale, sicurezza pubblica, prevenzione, indagine, accertamento e perseguimento dei reati, così come gli obblighi giuridici dei soggetti che operano in settori critici e altamente critici, di adottare misure di cibersicurezza, conformemente alla direttiva NIS 2.

La proposta si compone di 22 articoli, suddivisi in 5 capi.

Il capo I definisce gli obiettivi del regolamento, volto a rafforzare la solidarietà a livello di Unione per migliorare il rilevamento delle minacce e degli incidenti di cibersicurezza, nonché la preparazione e la risposta agli stessi. Definisce altresì le azioni tramite cui tali obiettivi saranno conseguiti: la realizzazione di un ciberscudo europeo, la creazione di un meccanismo per le emergenze di cibersicurezza e l'istituzione di un meccanismo di riesame degli incidenti di cibersicurezza.

Il capo II istituisce il ciberscudo europeo e ne definisce i vari elementi e le condizioni per parteciparvi. L'obiettivo è quello di sviluppare capacità avanzate che permettano all'Unione di rilevare, analizzare ed elaborare i dati sulle minacce e sugli incidenti informatici nell'UE. Il finanziamento dell'Unione per il ciberscudo europeo sarà attuato in conformità del regolamento sul programma Europa digitale.

Il ciberscudo europeo è costituito dai centri operativi di sicurezza SOC (Security Operation Center) nazionali e SOC transfrontalieri.

Il capo III istituisce il meccanismo per le emergenze di cibersicurezza al fine di migliorare la resilienza dell'Unione alle minacce gravi alla cibersicurezza e, in uno spirito di solidarietà, prepararsi all'impatto a breve termine degli incidenti o delle crisi di cibersicurezza significativi e su vasta scala, nonché ad attenuare tale impatto. Il meccanismo include il meccanismo di riserva di capacità nella gestione degli incidenti cyber su larga scala, garantito da operatori fiduciari del settore privato, che potranno essere dispiegati su richiesta dello Stato membro interessato ovvero di Istituzioni, organismi ed agenzie UE. Vengono quindi stabiliti i principi di aggiudicazione degli appalti e i criteri di selezione relativi ai fornitori di fiducia della forza di riserva dell'UE per la cibersicurezza.

Il capo IV (Meccanismo di riesame degli incidenti di cibersicurezza) stabilisce che, su richiesta della Commissione, di EU-CyCLONe (Cyber Crises Liaison Organisation Network) o della rete dei CSIRT (Computer Security Incident Response Team), l'ENISA sarà responsabile per l'esame di specifici incidenti cyber significativi o su larga scala, per valutare le minacce, le vulnerabilità e le azioni di attenuazione, e sarà chiamata a presentare una relazione che includa le lezioni apprese e raccomandazioni per migliorare la risposta dell'UE.

Il capo V contiene le disposizioni finali.

Il termine delle 8 settimane, previste dal Protocollo n. 2 allegato ai Trattati, per l'esame della sussidiarietà, scadrà il 21 luglio 2023.

La proposta è attualmente oggetto di esame da parte di 13 Camere dei Parlamenti nazionali dell'UE, che non hanno finora sollevato criticità.

La Camera dei deputati ceca ha concluso l'iter con una risoluzione in cui sostiene i dubbi e le obiezioni del Governo ceco al progetto. Sottolinea in particolare che le norme e gli obblighi che ne derivano devono rispettare i principi di sussidiarietà e proporzionalità ed esprime dubbi sulla condivisione di informazioni sensibili, che è subordinata all'assistenza del meccanismo di emergenza per la sicurezza informatica; ritiene, infine, criticabile che per tale proposta di regolamento non sia stata preparata una valutazione d'impatto sulla Repubblica ceca.

Lo scorso 22 giugno è pervenuta la relazione del Governo ai sensi dell'articolo 6 della legge n. 234 del 2012, elaborata dall'Agenzia per la cybersicurezza nazionale, di cui si darà conto nel prosieguo dell'esame.

La Relatrice, anche su questo atto all'esame, esprime l'opportunità di svolgere gli opportuni approfondimenti.

Il senatore LOMBARDO (Az-IV-RE) si sofferma sulla base giuridica, individuata nell'articolo 173 del TFUE, relativo alla competitività dell'industria europea. Come già affermato in altra occasione, ritiene estremamente limitativo trattare materie che ineriscono ai temi della sicurezza nazionale e della difesa con una base giuridica dedicata all'industria.

È quindi necessario ribadire la richiesta di considerare una base giuridica appropriata per trattare questi temi in una dimensione europea, anche riferendosi - a trattati vigenti - alla politica di sicurezza e di difesa europea o almeno alla dimensione esterna dell'Unione.

La relatrice MURELLI (LSP-PSd'Az) concorda con le considerazioni testé svolte del senatore Lombardo e aggiunge una preoccupazione sulle ripercussioni per le aziende, considerato che gli attacchi informatici riguardano non solo le strutture pubbliche della pubblica amministrazione, ma soprattutto quelle del settore produttivo delle piccole e medie imprese.

Il seguito dell'esame è, quindi, rinviato.

Proposta di regolamento del Parlamento europeo e del Consiglio sul trasferimento dei procedimenti penali (COM(2023) 185 definitivo)

(Seguito e conclusione dell'esame, ai sensi dell'articolo 144, commi 1-bis e 6, del Regolamento)

Prosegue l'esame, sospeso nella seduta del 20 giugno.

Il senatore LOMBARDO (Az-IV-RE), relatore, svolge una relazione integrativa sulla proposta di regolamento in titolo che, come già illustrato in precedenza, prevede l'istituzione di una procedura giuridica dell'UE - oltre alla Convenzione del Consiglio d'Europa del 1959 sull'assistenza giudiziaria in materia penale - specifica sul trasferimento dei procedimenti penali in un unico Stato membro, per far fronte dell'aumento dei reati transfrontalieri e dell'esigenza di evitare duplicazioni di procedimenti penali in più Stati membri.

Come anticipato, sulla proposta è pervenuta la relazione del Governo ai sensi dell'articolo 6 della legge n. 234 del 2012, che la ritiene conforme all'interesse nazionale e ai principi di sussidiarietà e proporzionalità, nonché di particolare urgenza.

In particolare, secondo il Governo, il regolamento consentirà di affrontare gli attuali problemi relativi alle difficoltà di trasferimento dei procedimenti penali, stabilendo una procedura completa per la richiesta e l'adozione di una decisione sul trasferimento, con un elenco comune di criteri, un elenco esaustivo di motivi di rifiuto e obblighi chiari di risposta, aumentando la certezza del diritto per tutti i portatori di interesse.

La proposta amplia in misura considerevole l'ambito di applicazione della decisione quadro 2009/948/GAI sulla prevenzione e la risoluzione dei conflitti relativi all'esercizio della giurisdizione nei procedimenti penali, poiché il trasferimento non si applica solo al potenziale conflitto di giurisdizione derivante dall'avvio di più procedimenti, ma anche quando si ritiene che l'azione penale potrebbe essere svolta più adeguatamente in un altro Stato membro, per esempio per la presenza sul territorio della persona offesa o delle fonti di prova più rilevati, o perché la persona indagata vi sta già scontando una pena, oppure quando vi sia il rischio di impunità, come nel caso di rifiuto di consegna dell'indagato da parte dello Stato membro di esecuzione di un mandato di arresto europeo.

Il Governo non rileva elementi di criticità derivanti dalla proposta, segnalando solo la necessità di procedere poi a un adeguamento degli articoli 746-bis e 746-ter del codice di procedura penale, che prevedono la possibilità del trasferimento di procedimenti penali, sia in entrata che in uscita, solo fino a quando non sia avviato l'esercizio dell'azione penale, mentre la proposta di regolamento ha ad oggetto procedimenti penali sia nella fase delle indagini preliminari che in quella successiva all'avvio dell'azione penale.

Per quanto riguarda i costi per la pubblica amministrazione, si individuano come costi una tantum quelli derivanti dalla necessità di formare i giudici, procuratori e altre autorità competenti, sulle nuove norme, e come costi ricorrenti quelli relativi alla traduzione dei documenti dei fascicoli, che dovrebbero essere in parte compensati da una maggiore efficienza derivante dal regolamento. Vi saranno inoltre alcuni costi per l'installazione e la manutenzione dei punti di accesso al sistema informatico decentrato, situati sul territorio, e per renderli interoperabili con quelli degli altri Stati membri, costi che per la maggior parte dovrebbero già essere coperti dalla proposta di regolamento sulla digitalizzazione della cooperazione giudiziaria (COM(2021) 759).

Il termine delle 8 settimane, previste dal Protocollo n. 2 allegato ai Trattati, per l'esame della sussidiarietà, è scaduto il 20 giugno 2023, e sulla proposta non sono state sollevate criticità da parte delle altre 14 Camere dei Parlamenti nazionali dell'UE che l'hanno esaminata.

Il Relatore ritiene, pertanto, di poter confermare l'orientamento favorevole circa il rispetto dei principi di sussidiarietà e proporzionalità.

La Commissione prende atto.