Oggi, la direzione generale per le comunicazioni, le reti, i contenuti e la tecnologia della Commissione europea (DG CONNECT) e il Dipartimento per la sicurezza interna degli Stati Uniti (DHS) hanno annunciato un'iniziativa per confrontare gli elementi di segnalazione degli incidenti informatici che informeranno gli obblighi di segnalazione degli incidenti informatici da parte degli Stati Uniti e dell'Unione europea (UE) ai sensi della direttiva NIS 2. Questa collaborazione transatlantica tra l'UE e gli Stati Uniti si basa sui loro sforzi per proteggere le persone, le infrastrutture critiche e le imprese contro attività informatiche dannose.
La relazione congiunta elaborata dalla DG CONNECT e dal DHS, con il sostegno delle rispettive agenzie di cibersicurezza, dell'Agenzia europea per la cibersicurezza (ENISA) e dell'Agenzia per la cibersicurezza e la sicurezza delle infrastrutture (CISA), fornisce una valutazione comparativa e una panoramica fattuale delle raccomandazioni del Consiglio statunitense per la segnalazione degli incidenti informatici e della relazione del DHS 2023 sull' armonizzazione della segnalazione degli incidenti informatici al governo federale e della direttiva 2022/2555 dell'UE sulle misure per un elevato livello di cibersicurezza in tutta l'Unione (direttiva NIS2) individuando le principali somiglianze e divergenze. I risultati di questa relazione contribuiranno a informare la DG CONNECT e l'approccio del DHS alla valutazione dei processi di segnalazione degli incidenti informatici in futuro. La relazione individua sei settori principali per l'analisi comparativa tra la relazione del DHS e la direttiva dell'UE, tra cui: (i) definizioni e soglie di segnalazione, ii) scadenze, trigger e tipi di segnalazione di incidenti informatici, iii) contenuti delle segnalazioni di incidenti informatici, iv) meccanismi di segnalazione, v) aggregazione dei dati sugli incidenti e vi) divulgazione pubblica di informazioni sugli incidenti informatici.
Gli incidenti informatici non riconoscono i confini e le aziende multinazionali sono spesso tenute a segnalare incidenti in numerose giurisdizioni. Ci impegniamo ad armonizzare le norme in materia di segnalazione degli incidenti a livello nazionale e con partner che condividono gli stessi principi, come l'Unione europea, ove possibile. Il nostro approccio consentirà alle autorità governative di ottenere le informazioni di cui hanno bisogno per fornire la difesa informatica, semplificando al contempo il processo per le organizzazioni vittime.
ha detto Robert Silvers, sottosegretario alla politica del DHS e presidente del Cyber Incident Reporting Council.
Attraverso l'Atlantico, cerchiamo di collaborare per confrontare i pertinenti obblighi di segnalazione, compresi la forma o il formato delle informazioni richieste per cercare modi per ridurre al minimo l'onere amministrativo a carico dei soggetti segnalanti.
ha dichiarato Roberto Viola, direttore generale della Commissione europea per le reti di comunicazione, i contenuti e le tecnologie
Questa iniziativa — che si allinea con la dichiarazione congiunta del 2024 tra il segretario della Sicurezza interna Alejandro N. Mayorkas e il commissario europeo per il mercato interno Thierry Breton — segna l'inizio di un processo per allineare, ove possibile, la segnalazione transatlantica degli incidenti informatici. DHS & DG CONNECT invitano l'industria degli Stati Uniti e dell'UE a condividere i loro contributi e le loro reazioni alla nostra collaborazione congiunta e al nostro approccio alla valutazione dei processi di segnalazione degli incidenti informatici.
Questo settore è fondamentale in quanto le autorità governative competenti devono avere accesso alle informazioni sugli incidenti informatici che hanno un impatto sui loro cittadini o che in altro modo sollevano preoccupazioni in materia di sicurezza. Inoltre, riconosciamo che nei prossimi mesi sia gli Stati Uniti che l'Unione europea continueranno a lavorare per attuare regimi di segnalazione obbligatori, anche attuando disposizioni più precise sul processo di segnalazione degli incidenti, il contenuto delle segnalazioni e le scadenze. È importante rimanere connessi su questi temi e allinearsi, ove possibile.
aggiunto Lorena Boix Alonso, direttore della Commissione europea per la società digitale, la fiducia e la cibersicurezza
Nel corso del prossimo anno i nostri team hanno in programma di continuare la nostra cooperazione a un livello più tecnico, anche mappando elementi come le tassonomie di incidenti di sicurezza informatica, i modelli di reporting e il contenuto di report e formati. Condurremo un incrocio approfondito del Modello di Reporting Form sviluppato dal DHS rispetto ai contenuti richiesti della NIS 2 per identificare dove c'è sovrapposizione e disparità nei tipi di dati richiesti. Mentre continuiamo questi sforzi andando avanti, dobbiamo rimanere agili e adattarci al panorama delle minacce informatiche in rapida evoluzione, poiché nulla rimane a lungo statico nel nostro mondo digitale.
Iranga Kahangama, Assistente Segretario del DHS per Cyber, Infrastrutture, Rischio e Resilienza.
Il Cyber Incident Reporting for Critical Infrastructure Act (Circia), firmato in legge dal Presidente Biden nel 2022, ha istituito il Cyber Incident Reporting Council (CIRC), guidato dal DHS per "coordinare, sconfliggere e armonizzare i requisiti federali di segnalazione degli incidenti, compresi quelli emessi attraverso regolamenti." Il CIRC, che è presieduto dal DHS e comprende la rappresentanza di oltre 30 agenzie, ha delineato una serie di raccomandazioni attuabili su come il governo degli Stati Uniti può razionalizzare e armonizzare la segnalazione di incidenti informatici per proteggere meglio le infrastrutture critiche della nazione. Nel 2023, il DHS ha fornito al Congresso una relazione contenente raccomandazioni del Consiglio dal titolo Harmonization of Cyber Incident Reporting al governo federale.
Nel gennaio 2023 è entrata in vigore la direttiva NIS2, che concede agli Stati membri dell'UE 21 mesi per recepirla nel diritto nazionale. La direttiva NIS2 si basa sui requisiti della precedente direttiva (UE) 2016/1148, concernente misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi in tutta l'Unione (direttiva NIS), in vigore dal 2016, ma innalza il livello comune di ambizione dell'UE in materia di cibersicurezza, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più forti. La direttiva NIS2 armonizza, rafforza e semplifica gli obblighi in materia di sicurezza e di segnalazione degli incidenti per un numero maggiore di soggetti, che sono fondamentali per l'economia e la società europee.
Related content
Policy and legislation | 20 Marzo 2024
Per informare l'attuazione in corso della Cyber Incident Reporting for Critical Infrastructure Act del 2022 e della direttiva dell'UE su un alto livello di cibersicurezza in tutta l'Unione (direttiva NIS 2) da parte delle rispettive autorità e per sostenere le entità attive in più giurisdizioni nei loro sforzi per rispondere agli incidenti informatici, il Dipartimento per la sicurezza interna (DHS) e la DG CONNECT della Commissione europea pubblicano la presente relazione congiunta che individua le principali somiglianze e divergenze.