sicurezza cibernetica

Cybersecurity Act, ecco le nuove norme in arrivo su certificazione dei prodotti e servizi ICT

Cos’è il Cybersecurity Act, quali i obiettivi e come si colloca nel quadro della normativa Ue in materia di cybersecurity. Tutto ciò che c’è da sapere sul Regolamento – pubblicato in GU il 7 giugno 2019 – che crea un nuovo sistema di certificazione della sicurezza di prodotti e servizi ICT e che rafforza il ruolo di Enisa

07 Giu 2019
Luca Tosoni

avvocato e ricercatore presso l’Università di Oslo

cybersecurity

Dopo l’approvazione della Direttiva NIS nel 2016 – trasposta in Italia dal D.Lgs. 65/2018 – le istituzioni europee continuano ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea. La principale di queste misure recentemente adottate consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act. Il Regolamento è stato pubblicato in Gazzetta Ufficiale il 7 giungo 2019 ed entrerà in vigore il 27 giugno 2019.

Che cos’è il Cybersecurity Act

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Il Cybersecurity Act si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali. Trattandosi di un Regolamento, una volta entrato in vigore, il Cybersecurity Act sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Come cambia il ruolo dell’ENISA

Un primo punto chiave del Cybersecurity Act riguarda il rafforzamento del ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). L’Agenzia è stata istituita nel 2004 – con mandato temporalmente limitato – per contribuire all’obiettivo generale di garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’ambito dell’Ue.

Fino ad oggi, il ruolo dell’ENISA è stato principalmente quello di assistere in termini tecnici gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi e a rafforzare la propria capacità di prevenire, rilevare e reagire agli incidenti informatici. La gestione operativa degli incidenti informatici rimane però una competenza esclusiva degli Stati membri.

Il Cybersecurity Act intende rafforzare il ruolo dell’ENISA garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. In questo modo l’ENISA potrà fornire un sostegno più concreto, anche rispetto all’attuazione della Direttiva NIS. All’ENISA spetterà inoltre un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.

Certificazione della sicurezza informatica di prodotti e servizi digitali

Un altro punto chiave del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare lo scambio degli stessi all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei medesimi.

La costituzione di schemi di certificazione specifici per prodotti e sistemi ICT non è di per sé una novità. Infatti, numerosi schemi di questo tipo già esistono nella maggior parte degli Stati membri. Ad esempio, in Italia, l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Iscom, operante presso il Ministero dello Sviluppo Economico) già certifica la sicurezza informatica di prodotti e sistemi ICT secondo lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione istituito dal DPCM del 30 ottobre 2003. Analoghi schemi di certificazione esistono anche in altri Stati membri. Esempi ne sono la Certification de Sécurité de Premier Niveau des Produits des Technologies de l’Information (CSPN), in Francia; il Commercial Product Assurance (CPA), nel Regno Unito; e il Baseline Security Product Assessment (BSPA), in Olanda. Tuttavia, molti degli schemi di certificazione esistenti non vengono riconosciuti all’estero, o almeno non in tutti gli Stati membri. Ciò obbliga le imprese ad espletare vari processi di certificazione per operare a livello transnazionale. Ad esempio, la Commissione europea ha verificato come un fabbricante di contatori intelligenti (i cosiddetti “smart meter”) che intenda vendere i propri prodotti in Germania, Francia e Regno Unito debba farli certificare secondo tre schemi differenti. Si noti che, al momento, i costi di certificazione tendono ad essere piuttosto elevati per le imprese. Ad esempio, in Germania, i costi per la certificazione dei contatori intelligenti sono superiori a 1 milione di Euro, mentre nel Regno Unito e in Francia i costi per ottenere analoga certificazione ammontano a circa 150.000 Euro.

Un “quadro europeo” per certificazioni valide in tutta la Ue

Il Cybersecurity Act intende ovviare ai problemi di cui sopra introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica. È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione, da predisporsi per specifiche categorie di prodotti e servizi, comporterà che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in tutti gli Stati membri.

Gli schemi europei di certificazione previsti dal Cybersecurity Act saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione. I dispositivi medici, i sistemi di controllo industriali e i veicoli automatizzati sono solo alcuni esempi dei prodotti per i quali è probabile che verrà reso disponibile uno schema europeo di certificazione.

Una volta adottato uno schema europeo di certificazione da parte della Commissione, le aziende interessate potranno presentare domanda di certificazione dei propri prodotti o servizi a specifici organismi accreditati, salvo che lo schema di certificazione in questione non consenta alle aziende di procedere ad una autovalutazione di conformità (solo per prodotti e servizi a basso rischio). L’utilizzo della certificazione rimarrà però volontario, a meno che la certificazione venga espressamente richiesta per determinate categorie di prodotti o servizi da specifiche norme di settore.

Gli schemi europei di certificazione andranno gradualmente a rimpiazzare gli omologhi schemi di certificazione nazionali, ma i certificati rilasciati sulla base di questi ultimi rimarranno validi siano alla loro scadenza naturale.

Nelle intenzioni del legislatore europeo, l’istituzione di un sistema comune di certificazione di questo tipo dovrebbe favorire la cosiddetta “security by design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti ICT, inclusi quei dispositivi di consumo connessi alla rete che costituiscono il cosiddetto “internet delle cose” o “IoT”.

Iter di approvazione ed entrata in vigore del Cybersecurity Act

L’iter di approvazione del Cybersecurity Act si è concluso con l’approvazione del Regolamento da parte del Parlamento il 12 marzo 2019, e con quella del Consiglio il 9 aprile 2019.

Il Cybersecurity Act è stato infine pubblicato nella Gazzetta ufficiale dell’Unione europea il 7 giugno 2019, per poi entrare in vigore venti giorni dopo la sua pubblicazione (ovvero, il 27 giugno 2019). Alcune limitate norme si applicheranno però dal 28 giugno 2021. È quindi ragionevole attendersi che la gran parte delle novità introdotte dal Cybersecurity Act diventeranno operative a breve.

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati