È stato pubblicato nella Gazzetta Ufficiale della UE, lo scorso 7 giugno, il “Cybersecurity Act”, Regolamento che espande l’applicazione di certificazioni, standard e processi di risposta agli attacchi informatici in tutta l’Unione. Formalmente è entrato in vigore il 27 giugno 2019 e sarà immediatamente recepito in tutti i Paesi senza bisogno di interventi legislativi (come è stato per il GDPR).
L’impianto normativo di cui si dispone ora a livello europeo (Direttiva NIS 2016 per gli operatori di servizi essenziali trasposta in Italia dal D.Lgs. 65/2018, Regolamento Cybersecurity Act per certificazione e risposta agli attacchi, Regolamento GDPR per data protection e privacy) comincia a fornire tutti gli strumenti di cui da tempo si sentiva l’esigenza. Prima con il susseguirsi di incidenti e data breaches, poi con l’emergere di attacchi informatici disastrosi ed epidemici della portata di WannaCry/NotPetya, passando dai timori su fake news e manipolazione delle opinioni guidate da agenti esterni sui social, infine con l’arrivo delle reti mobili 5G e con i timori di possibili accessi non autorizzati a dati e comunicazioni critiche attraverso le nuove infrastrutture in via di realizzazione.
Le novità del Cybersecurity Act
Il Regolamento, sul cui testo è stata raggiunta l’intesa tra le Istituzioni UE lo scorso marzo (n. 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019) contiene un ampio pacchetto di misure: le principali novità introdotte sono
- Schema europeo di certificazione della cybersecurity per prodotti, processi e servizi – rivolti a aziende, PA e consumatori – che in futuro (al momento lo schema è volontario) potranno essere validati dal punto di vista della cybersecurity tramite opportuni test. Questo prevede la creazione di Autorità nazionali di certificazione, di una rete di organismi di valutazione accreditati, oltre che di un Gruppo Europeo per la certificazione della cybersecurity (European Cybersecurity Certification Group, ECCG).
- Rafforzamento del ruolo di Enisa, l’Agenzia dell’Unione europea per la cybersecurity attiva dal 2004, che avrà un mandato permanente e sarà dotata di maggiori risorse e più incisivi poteri di intervento a sostegno degli Stati Membri.
- Enisa avrà anche un ruolo centrale nella definizione del nuovo quadro di certificazione e dovrà aiutare gli Stati Membri a rispondere meglio in caso di attacco cyber, con un ruolo di coordinamento a livello dell’Unione; contribuirà ad aumentare le capacità di cybersecurity a livello di UE, aiutando i singoli Paesi a rafforzare capacità e preparazione; continuerà ad essere un centro di competenza indipendente per promuovere un alto livello di consapevolezza dei cittadini e delle imprese, ma aiuterà anche le istituzioni dell’UE e gli Stati Membri nello sviluppo e nell’attuazione delle politiche.
Dopo venti giorni dalla pubblicazione, il Regolamento entrerà in vigore il 27 giugno 2019 con l’eccezione di alcuni articoli (58, 60, 61, 63, 64 e 65) che attengono alle autorità nazionali di certificazione della cybersecurity, agli organismi di valutazione di conformità e all’istituzione del Gruppo Europeo per la certificazione della cybersecurity (ECCG), che entreranno invece in vigore il 28 giugno 2021.
Certificazione di Cybersecurity, la situazione italiana
Con riferimento ai temi della certificazione di cybersecurity, va saputo (come ben spiegato in “Cyber security in cima alle agende politiche: ecco tutti gli interventi nazionali“ di Guido Carlomagno, Luca Ciotti e Luisa Franchina) che in Italia ad oggi, l’OCSI (Organismo di Certificazione della Sicurezza Informatica), operante nell’ambito del ISCOM del Ministero dello Sviluppo Economico, già certifica la sicurezza informatica di prodotti ICT secondo uno schema nazionale istituito dal DPCM del 30 ottobre 2003. Inoltre, è stato istituito il CVCN (Centro di valutazione e certificazione nazionale) a febbraio 2019 sempre presso il MISE. Lo Schema nazionale, in conformità ai criteri europei ITSEC e ai Common Criteria, raccoglie l’insieme delle procedure e delle regole necessarie per la valutazione e certificazione di sistemi o prodotti ICT.
Come è stato recepito dai diversi stakeholder il nuovo Regolamento?
L’arrivo del nuovo regolamento, con le novità in tema di certificazione e maggiore coinvolgimento di Enisa, è risultato per tutti un passo avanti nella definizione di misure unitarie a livello europeo. Secondo la GSMA, l’associazione di categoria che raggruppa i maggiori operatori Mobile, per garantire una sicurezza pervasiva è oggi importante che le misure siano adottate su intere supply chain, per cui requisiti come un maggiore controllo su singoli prodotti può essere d’aiuto a completare il quadro.
Sarebbe auspicabile il fatto che le PA comincino a adottare questi requisiti in bandi di gara pubblici, in modo da elevare il livello di sicurezza in diversi settori. Allo stesso modo, la diffusione di una maggiore cultura sulla cybersecurity presso consumatori finali, guidata da un “bollino blu della cybersecurity”, sarà fondamentale per diffondere quella awareness e quegli skill digitali che tanto oggi sono richiesti.
Punti di attenzione nell’implementazione dei dettami del Regolamento sono (secondo la GSMA) il fatto che siano evitate duplicazioni e frammentazioni tra i diversi Paesi, e che siano riutilizzati standard e best practices già esistenti nel campo della cybersecurity, per poter far leva sulle competenze e le professionalità sviluppatesi in questi anni. Infine, la GSMA raccomanda alle istituzioni europee di entrare maggiormente nel merito e fornire ulteriori chiarificazioni e linee guida, in modo da favorire i processi decisionali nei singoli Paesi.
Il Regolamento UE “Cybersecurity Act” è consultabile a questo link.
A cura di: