Ad ottobre 2017, il Consiglio europeo aveva chiesto l’adozione di un approccio comune in materia di cybersecurity in tutta la UE, dopo il pacchetto di riforme (Cybersecurity Act) proposto dalla Commissione Europea a settembre.
Da qui l’iter parlamentare che ha portato a inizio luglio alla proposta da parte della Commissione Industria, ricerca ed energia (ITRE) del Parlamento Europeo di:
- Rafforzare l’Agenzia UE ENISA per la sicurezza delle reti e dell’informazione, con un maggiore budget, più staff e un mandato permanente;
- Introdurre un sistema di certificazione comune a livello di UE per prodotti, servizi e processi ICT. Attraverso l’introduzione di un framework comune per garantire un maggiore “security-by-design”, secondo questa norma (il cui testo deve essere ancora approvato in Parlamento e poi essere rivisto con Consiglio e Commissione prima di arrivare alla versione finale) qualsiasi prodotto comprensivo di aspetti digitali e di connettività dovrà in futuro uscire dalla fabbrica con la garanzia che non contiene vulnerabilità note e che è compliant a standard tecnici di sicurezza internazionali.
Secondo la proposta attuale, la certificazione sarà rilasciata su base volontaria, e comunque saranno i singoli Stati a deciderlo. Non è escluso però che possa essere obbligatoria in alcuni casi considerati di particolare criticità e rilevanza per la sicurezza dell’Unione. Inoltre dal testo iniziale sembra che la certificazione avrà 3 livelli di product assurance: un livello base, uno sostanziale e uno elevato.
Inoltre, ENISA sarà il punto di riferimento per il futuro quadro europeo di certificazione della cybersecurity, sia per il suo sviluppo che per il mantenimento e la diffusione dello stesso: saranno messe a disposizione tutte le informazioni sulle certificazioni adottate nell’UE tramite un apposito sito web.
Quali saranno però le conseguenze del nuovo schema di certificazione, se approvato?
I più vedono con favore l’arrivo di uno schema generale di certificazione che avrebbe come minimo un impatto positivo nel favorire l’adozione da parte dei consumatori finali di oggetti connessi (IoT) caratterizzati da un livello minimo di sicurezza. Alcune voci critiche vengono alzate per sottolineare però che gli standard tecnici della sicurezza (ad esempio l’ISO27001) esistono da molto tempo e non hanno comunque impedito la diffusione di attacchi, né hanno favorito una più diffusa cultura della sicurezza.
I vendor non-UE temono poi le conseguenze di una “balcanizzazione” di regolamenti e compliance (come già avvenuto con l’introduzione del GDPR per gli aspetti di privacy), sottolineando che servirebbe invece un’armonizzazione dei requisiti di sicurezza a livello globale.
In aggiunta, va poi considerato il fatto che uno schema di certificazione non è probabilmente sufficiente per gestire un rischio altamente dinamico come è quello della cybersecurity: niente garantisce infatti che un prodotto risultato privo di vulnerabilità in un determinato momento, non possa poi dopo qualche tempo essere invece vittima di un attacco basato su uno zero-day, ossia su una vulnerabilità mai nota fino a quel momento.
Un basso livello di garanzia di sicurezza offerto dalla certificazione potrebbe di conseguenza inficiarne il valore, se non addirittura aprire la possibilità di azioni legali contro il produttore o chi ha “firmato” la certificazione.
Vedremo nei prossimi mesi quali saranno le posizioni assunte dal regolatore europeo per rispondere a queste domande.
Elena Vaciago, @evaciago