giovedì, Marzo 28, 2024
Uncategorized

Cybersecurity Act: l’Unione europea costruisce un sistema di sicurezza informatica by design

Lo scorso 27 giugno è entrato in vigore il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, meglio conosciuto come Cybersecurity Act[1]. In un periodo storico di grande timore per quanto concerne la sicurezza informatica, il Regolamento mira a creare un quadro definito e armonizzato sulla certificazione della sicurezza informatica di prodotti ICT (Information and Communications Technology) e servizi digitali. Il fine è chiaramente quello di tutelare i consumatori e le aziende in un contesto in cui il livello di sicurezza di Internet è inferiore rispetto al livello di sofisticazione raggiunto dalla criminalità informatica e questo sta portando a un’erosione della fiducia nell’economia digitale[2]. Basti pensare che, in base a una indagine condotta da Accenture, i costi che a livello mondiale  le aziende potrebbero dover sostenere nei prossimi cinque anni a causa di cyber attacchi si aggirano attorno ai 5.200 miliardi di dollari[3]. Sulla base di quanto appena esposto, è lecito ritenere che, al giorno d’oggi, un sistema efficiente di sicurezza informatica – benché non sicuro al 100% –  dovrebbe essere quantomeno in grado di indurre la criminalità a cercare un altro obiettivo più facile.

In un contesto europeo fortemente garante dei valori democratici, della tutela del cittadino europeo e del mercato unico, non era pensabile omettere contromisure adeguate a un fenomeno potenzialmente in grado di rallentare la crescita delle aziende e al contempo generare sfiducia nei consumatori. In realtà questa affermazione è vera in parte. Benché fino ad oggi mancasse una armonizzazione unitaria e ficcante sulla materia, dei primi passi importanti, come noto, erano già stati adottati dal legislatore comunitario con la direttiva NIS  [4] e il GDPR ( il celebre regolamento europeo sul trattamento dei dati personali).

Come l’idea di un modello di privacy by design nel GDPR, il Cybersecurity Act disegna un modello di security by design, elaborando la sicurezza informatica a partire dalla progettazione dei prodotti ICT[5]. Questo obiettivo viene perseguito attraverso due macro misure: da un lato viene rafforzato e specificato il ruolo dell’ENISA[6] (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione), dall’altro si introduce un sistema di certificazione della sicurezza informatica di tutti i prodotti e servizi digitali[7].

L’ENISA[8] è stata istituita nel 2014 con mandato temporaneo, per migliorare la sicurezza informatica e delle reti di comunicazione dell’UE e rappresentare un centro di expertise per le istituzioni e gli Stati europei. Con il Cybersecurity Act l’ENISA – che storicamente è sempre stata unicamente un centro di assistenza tecnica nell’elaborazione delle politiche in tema di sicurezza informatica – è destinata ad assumere un ruolo centrale nella lotta ai cyber-attacchi. Infatti, mentre prima la gestione delle emergenze informatica era di competenza dei singoli Stati membri che si trovavano a fronteggiare da soli gli attacchi informatici, ora l’ENISA si occuperà, in via permanente, dell’attività di gestione operativa degli incidenti informatici a servizio degli Stati membri. In particolare, stando a quanto previsto dagli artt. 7-12 del Regolamento, l’ENISA:

–          contribuisce all’impegno dell’Unione per promuovere la cooperazione internazionali sulle questioni di cibersicurezza;

–          sostiene e promuove lo sviluppo e l’attuazione della politica dell’Unione in materia di certificazione della cibersicurezza dei prodotti, dei servizi e dei processi TIC;

–          esegue e mette a disposizione del pubblico analisi sulle tecnologie emergenti e le possibili minacce informatiche;

–          sensibilizza e istruisce sui rischi connessi alla cibersicurezza e sulle buone pratiche;

–       si occupa di ricerca e innovazione contribuendo, tra l’altro, all’agenda strategica di ricerca e innovazione dell’Unione europea nel campo della cibersicurezza.

Il secondo pilastro portante del Regolamento è il sistema di certificazione europeo, che costituisce, appunto, il sistema di sicurezza by design. Attualmente esistono certificazioni nazionali[9], aventi validità interna e non riconosciute dagli altri Paesi dell’UE. Questa circostanza, oltre a diminuire la fiducia dei consumatori, rallenta e appesantisce economicamente gli scambi commerciali all’interno del mercato unico. Infatti, le imprese che intendono vendere i loro prodotti al di fuori dello Stato all’interno del quale hanno conseguito la certificazione, sono costrette ad espletare una sequela infinita di processi di certificazione (tanti sono i Paesi nei quali intendono allargare il proprio business, tante sono le certificazioni)[10]. Per ovviare a tale evenienza, il Cybersecurity Act ha istituito un sistema europeo di certificazione della sicurezza informatica e dei servizi digitali, che, a norma dell’art. 51, persegue i seguenti obiettivi:

–          proteggere i dati conservati, trasmessi o altrimenti trattati all’interno del ciclo di vita del prodotto/servizio/processo TIC;

–          individuare e documentare le dipendenze e le vulnerabilità note;

–          assicurare che i prodotti/servizi/processi TIC siano sicuri fin dalla progettazione e per impostazione predefinita;

–       assicurare l’aggiornamento dei software e hardware dei prodotti/servizi/processi TIC, i quali non devono contenere vulnerabilità pubblicamente note e devono disporre di meccanismi per effettuare aggiornamenti protetti.

Al fine di unificare i processi di certificazione verranno elaborate linee guida che renderanno le certificazioni omogenee e quindi riconosciute all’interno dell’Unione europea. E’ previsto che la Commissione europea adotti schemi di certificazione- sulla base dei modelli che predisposti dall’ENISA- mediante atti di esecuzione. Successivamente le aziende – su base volontaria[11] – presenteranno domanda di certificazione dei propri prodotti o servizi agli organismi accreditati. Così facendo, le certificazioni nazionali saranno gradualmente sostituite da quelle adottate sulla base degli schemi europei. Infine, l’art. 53 prevede che in relazione a prodotti, servizi o processi che presentano un basso rischio- connesso al livello di affidabilità di base- le aziende possono sostituire la certificazione con un’autovalutazione della conformità agli standard europei (sotto responsabilità del fabbricante o del fornitore).

 

[1] Il testo completo è consultabile al seguente link
[2] Paolo Dal Cin, Security Lead di Accenture Italia in https://www.accenture.com/it-it/company-news-release-cybercrime-cost-companies-5200-billion
[3] “Securing the Digital Economy: Reinventing the Internet for Trust”, consultabile al seguente link https://www.accenture.com/_acnmedia/Thought-Leadership-Assets/PDF/Accenture-Securing-the-Digital-Economy-Reinventing-the-Internet-for-Trust.pdf#zoom=50
[4] Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, la quale prevedeva che gli Stati membri adottassero una strategia nazionale di sicurezza cibernetica.
[5] Sul punto, L. Tasoni in https://www.cybersecurity360.it/news/cybersecurity-act-approvata-la-legge-europea-per-la-sicurezza-cibernetica-che-ce-da-sapere/
[6] Sito consultabile al seguente link https://www.enisa.europa.eu
[7] Sul punto, L. Tasoni in https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/
[8] Instituita dal Regolamento 406/2004.
[9] In Italia, ad esempio, già si occupa di certificazioni informatiche l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Iscom), operante presso il Ministero dello Sviluppo Economico. Il sito dell’Iscom è consultabile al seguente link
[10] La Commissione europea, ad esempio, ha verificato che in Germania i costi di certificazione degli smart meter (contatori intelligenti) superano il milione di euro.
[11] Specifiche norme di settore, tuttavia, potrebbero richiedere in via obbligatoria la certificazione sulla base degli schemi europei per singole categorie di prodotti o servizi.

Ariella Fonsi

Laureata in Giurisprudenza nel 2017 presso l’Università LUISS “Guido Carli”, dal 2021 è abilitata all'esercizio della professione forense. Dopo aver conseguito il master in “Diritto e Impresa” erogato dalla 24ORE Business School di Milano, si occupa di contrattualista IT e di diritto dei dati.  

Lascia un commento