Il Regolamento (UE) 2019/881, comunemente noto al momento della sua adozione come Cybersecurity Act, costituisce il mandato e il quadro normativo dell'ENISA. Delinea la struttura e le responsabilità principali dell'ENISA, l'Agenzia dell'Unione europea per la sicurezza informatica, e stabilisce un quadro di certificazione della sicurezza informatica per i prodotti, i servizi e i processi ICT in tutta l'UE. Questo regolamento è una componente fondamentale della strategia dell'UE per migliorare la sicurezza informatica e creare un mercato unico digitale armonizzato.

Struttura e sezioni chiave

1. Mandato dell'ENISA: il regolamento istituisce in modo permanente l'ENISA, rafforzando il suo ruolo di supporto agli Stati membri e alle istituzioni dell'UE per migliorare la sicurezza informatica, fungere da centro di competenza e ridurre la frammentazione del mercato. L'ENISA ha il compito di assistere nello sviluppo e nell'attuazione delle politiche dell'UE, promuovere lo sviluppo di capacità, sostenere la cooperazione operativa e sensibilizzare l'opinione pubblica sui rischi della sicurezza informatica.
2. Quadro di certificazione della cybersecurity: Una parte significativa del regolamento è dedicata alla creazione di un quadro europeo di certificazione della sicurezza informatica. Questo quadro mira a stabilire schemi di certificazione comuni in tutta l'UE per aumentare la fiducia nei prodotti, servizi e processi ICT. Questi schemi sono progettati per indicare i livelli di garanzia della sicurezza (base, sostanziale o elevata) e mirano a unificare il panorama della certificazione, sostituendo gli schemi nazionali con un approccio coerente a livello europeo.
3. Struttura amministrativa: L'ENISA opera sotto la guida di un consiglio di amministrazione, di un comitato esecutivo e di un gruppo consultivo, che ne garantiscono il funzionamento efficace e l'allineamento con le sue responsabilità ampliate. Inoltre, è stato istituito un Gruppo europeo di certificazione della cibersicurezza (ECCG) per assistere nello sviluppo e nell'applicazione del quadro di certificazione della cibersicurezza.
4. Revisione e valutazione: Il regolamento prevede disposizioni per la valutazione periodica dell'impatto dell'ENISA e dell'efficacia dei sistemi di certificazione. La prima revisione completa è stata programmata per il 2024, mentre le revisioni successive si svolgeranno ogni cinque anni.
5. Abrogazione del regolamento precedente: Il regolamento abroga il precedente regolamento (UE) n. 526/2013, riflettendo l'evoluzione dell'approccio dell'UE alla cibersicurezza e la crescente importanza di una risposta solida e unificata alle minacce informatiche.

La direttiva CER rappresenta un significativo passo avanti negli sforzi dell'UE per salvaguardare le infrastrutture critiche da un'ampia gamma di minacce. Stabilendo obblighi chiari sia per gli Stati membri che per le entità critiche, la direttiva mira a creare un ambiente più resiliente e sicuro in tutta l'Unione.