Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

sicurezza cibernetica

Cybersecurity Act, ecco cosa ci aspetta dopo la Direttiva NIS

Cos’è il Cybersecurity Act, quali i suoi obiettivi e come si colloca nel quadro della normativa Ue sulla sicurezza di reti e sistemi informativi. Tutto ciò che c’è da sapere sul Regolamento che vuole creare un nuovo sistema di certificazione della sicurezza di prodotti e servizi Ict e rafforzare il ruolo dell’Enisa

04 Lug 2018

Luca Tosoni

avvocato e ricercatore presso l’Università di Oslo


Dopo l’entrata in vigore della Direttiva NIS, prosegue l’attività legislativa delle istituzioni europee relativa alla sicurezza delle reti e dei sistemi informativi. Quest’ultima costituisce una delle priorità per il 2018 dell’attuale Commissione europea, la quale ha presentato lo scorso settembre un ampio pacchetto di misure per rafforzare la sicurezza cibernetica nell’Unione europea. La principale di queste misure consiste in una proposta di Regolamento che intende creare un quadro europeo per la certificazione della sicurezza informatica dei prodotti ICT e dei servizi digitali, nonché rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act. La proposta di Regolamento si avvia ad essere adottata dal Consiglio e dal Parlamento europeo.

Che cos’è il Cybersecurity Act

L’adozione del Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

Il Cybersecurity Act si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo di certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Trattandosi di un Regolamento, una volta adottato ed entrato in vigore, il Cybersecurity Act sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali.

Come cambia il ruolo dell’Enisa

Un primo punto chiave del Cybersecurity Act riguarda il rafforzamento del ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (Enisa). L’Agenzia è stata istituita nel 2004 per contribuire all’obiettivo generale di garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’ambito dell’Ue. L’Enisa ha attualmente un mandato temporalmente limitato, il quale dovrebbe scadere nel giungo del 2020.

Fino ad oggi, il ruolo dell’Enisa è stato principalmente quello di assistere in termini tecnici gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi e a rafforzare la propria capacità di prevenire, rilevare e reagire agli incidenti informatici. La gestione operativa degli incidenti informatici rimane invece una competenza esclusiva degli Stati membri.

Il Cybersecurity Act intende rafforzare il ruolo dell’Enisa garantendole un mandato permanente e consentendole di svolgere non solo attività di consulenza tecnica, come è stato fino ad ora, ma anche di svolgere compiti in parte operativi. In questo modo l’Enisa potrà fornire un sostegno concreto agli Stati membri, alle istituzioni europee e alle imprese in settori chiave, compresa l’attuazione della direttiva NIS. All’Enisa spetterà inoltre un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.

Certificazione della sicurezza informatica di prodotti e servizi digitali

Un altro punto chiave del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare lo scambio degli stessi all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei medesimi.

La costituzione di schemi di certificazione specifici per i prodotti e i sistemi ICT non è di per sé una novità. Infatti, numerosi schemi di questo tipo già esistono nella maggior parte degli Stati membri. Ad esempio, in Italia, l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Iscom, operante presso il Ministero dello Sviluppo Economico) già certifica la sicurezza informatica di prodotti e sistemi ICT secondo lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione istituito dal DPCM del 30 ottobre 2003. Analoghi schemi di certificazione esistono anche in altri Stati membri: esempi ne sono la Certification de Sécurité de Premier Niveau des Produits des Technologies de l’Information (CSPN), in Francia; il Commercial Product Assurance (CPA), nel Regno Unito; e il Baseline Security Product Assessment (BSPA), in Olanda. Tuttavia, molti degli schemi di certificazione esistenti non vengono riconosciuti all’estero, o almeno non in tutti gli Stati membri. Ciò obbliga le imprese ad espletare vari processi di certificazione per operare a livello transnazionale. Ad esempio, la Commissione europea ha verificato come un fabbricante di contatori intelligenti (i cosiddetti “smart meter”), il quale intenda vendere i propri prodotti in Germania, Francia e Regno Unito, debba farli certificare secondo tre schemi differenti. Si noti che, al momento, i costi di certificazione tendono ad essere piuttosto elevati per le imprese. Ad esempio, in Germania, i costi per la certificazione dei contatori intelligenti sono superiori a 1 milione di Euro, mentre nel Regno Unito e in Francia i costi per ottenere analoga certificazione ammontano a circa 150.000 Euro.

Un “quadro” una la certificazione valida in tutta la Ue

Il Cybersecurity Act intende ovviare a questi problemi introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica. È bene precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione da predisporsi per specifiche categorie di prodotti e servizi comporterà che i certificati rilasciati nell’ambito di tali schemi saranno validi e riconosciuti in tutti gli Stati membri.

Gli schemi europei di certificazione previsti dal Cybersecurity Act saranno predisposti, in prima battuta, dall’Enisa e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione. I dispositivi medici, i sistemi di controllo industriali e i veicoli automatizzati sono solo alcuni esempi dei prodotti per i quali è probabile che verrà reso disponibile uno schema europeo di certificazione.

Una volta adottato uno schema europeo di certificazione, le aziende produttrici di prodotti ICT e i fornitori di servizi digitali potranno presentare domanda di certificazione a specifici organismi accreditati. L’utilizzo della certificazione rimarrà però volontario (almeno secondo l’impostazione attuale della proposta di Regolamento).

Nelle intenzioni della Commissione, l’istituzione di un sistema comune di certificazione dovrebbe favorire la cosiddetta “security by design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti ICT, inclusi quei dispositivi di consumo connessi alla rete che costituiscono il cosiddetto “internet delle cose”.

L’iter di approvazione del Cybersecurity Act

L’iter di approvazione del Cybersecurity Act sta procedendo in maniera spedita. Il Consiglio ha già approvato la propria posizione in prima lettura sulla proposta di Regolamento, in cui ha proposto modifiche sia nella parte concernente l’Enisa che nella parte relativa alla certificazione, ma ha confermato nella sostanza l’impostazione generale della proposta. L’adozione della posizione del Parlamento europeo è attesa invece per settimana prossima. Questo passaggio istituzionale consentirà di dare formalmente inizio ai negoziati tra le tre istituzioni (Parlamento, Consiglio e Commissione) per addivenire ad un accordo sul testo definitivo del Regolamento. È quindi probabile che i negoziati cominceranno dopo la pausa estiva, con l’obbiettivo di adottare il Regolamento entro la fine del 2018.

Articolo 1 di 4