Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Cybersecurity Act, gli effetti della certificazione europea di sicurezza digitale

Il Cybersecurity Act presto diventerà regolamento e definirà nuovi scenari nella normativa riguardante la sicurezza digitale. Oltre a stabilire l ruolo dell’agenzia ENISA, il regolamento individuerà i parametri per definire una certificazione di livello europeo in materia security. Emblematico a tal fine l’articolo 51

12 Apr 2019

Danilo Benedetti

Security Solutions Architect

cyber security

Un ultimo step, poi il Cybersecurity Act diventerà ufficialmente regolamento ed entrerà come legge nella quotidianità dei cittadini e delle aziende europei. Il nuovo regolamento è pronto a ridefinire il quadro europeo delle certificazioni in materia di sicurezza informatica e a stabilire il ruolo dell’ente ENISA. Con luci e ombre, però, come vedremo.

Per completare il percorso normativo, si attende l’approvazione della proposta di regolamento da parte del Consiglio dell’Unione Europea, in seguito alla quale il regolamento verrà pubblicato nella Gazzetta ufficiale dell’Unione europea, per entrare in vigore 20 giorni dopo. Utile dunque comprendere meglio che cosa riguarderà nello specifico.

Il Cybersecurity Act: articoli e tematiche

Il 12 marzo 2019 il Parlamento europeo ha approvato la proposta di regolamento, avanzata dalla Commissione Europea, sulla certificazione di sicurezza informatica delle tecnologie dell’informazione e della comunicazione, abrogando al contempo il regolamento (UE) 526/2013 che rappresentava l’iniziale costituzione dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). L’approvazione del Parlamento fa seguito a un accordo politico tra la Commissione europea, il Parlamento e il Consiglio dell’Unione europea (“Consiglio”) raggiunto lo scorso dicembre.

Riassumendo, il Cybersecurity Act può essere suddiviso in due parti. Nella prima (articoli da 1 a 45) il Regolamento ridefinisce il ruolo e l’organizzazione di ENISA, rendendone permanente il mandato, in sostituzione del suo mandato limitato che sarebbe scaduto nel 2020, assegnandole altresì maggiori risorse. Grazie a questo mandato rinnovato, ENISA dovrà contribuire ad elevare le capacità di cybersecurity della UE, sostenendo il rafforzamento della preparazione degli Stati membri e delle loro capacità di risposta. l’ENISA costituirà inoltre un centro di competenze indipendente, che si adopererà per promuovere il livello di consapevolezza dei cittadini e delle imprese relativamente alla sicurezza dei dati, aiutando al contempo le istituzioni dell’UE e gli Stati membri nello sviluppo e nell’attuazione delle politiche comunitarie in tale ambito. Infine, ENISA sosterrà un ruolo chiave nella definizione e nell’implementazione del nuovo schema di certificazioni europee per la cybersecurity.

Gli articoli da 46 a 65 istituiscono il quadro europeo di certificazione della cybersecurity, al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di sicurezza e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cybersecurity, così da favorire la creazione e l’armonizzazione di un mercato unico digitale per i prodotti, i servizi e i processi digitali.

La realizzazione del quadro europeo di certificazione non sarà però immediata: l’articolo 47 del Cybersecurity Act prevede infatti che La Commissione Europea pubblichi un programma di lavoro progressivo per la certificazione europea, nel quale saranno indicate le priorità strategiche per i futuri sistemi europei di certificazione della cybersecurity, e che tale programma di lavoro sarà reso disponibile entro 12 mesi. Nonostante ciò, l’articolato del Cybersecurity Act introduce già alcune caratteristiche che lo schema di certificazione dovrà adottare.

Il quadro europeo di certificazione della cybersecurity

Il quadro europeo di certificazione della Cybersecurity è relativo alla valutazione e certificazione del livello di sicurezza di prodotti, processi e sistemi di comunicazione ed elaborazioni di dati ed informazioni. Tale quadro europeo di certificazione prevederà un meccanismo volto a istituire sistemi europei e nazionali di certificazione della cybersecurity finalizzato ad attestare che i prodotti, servizi e processi valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita .

Per quanto riguarda le direttrici di azione tecnologiche ed organizzative, l’articolo 51 è molto esplicito nell’individuare le caratteristiche di maggiore interesse per la certificazione della sicurezza:

  • al fine della certificazione sarà necessario appurare che i sistemi, servizi o processi siano in grado di proteggere i dati dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita;
  • che siano in grado di proteggere i dati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità;
  • che l’accesso di persone, programmi o macchine sia limitato esclusivamente ai dati, ai servizi o alle funzioni per i quali questi dispongono dei diritti di accesso;
  • che siano state individuate e documentate le dipendenze e vulnerabilità note, che sia possibile registrare a quali dati, servizi o funzioni è stato effettuato l’accesso, in quale momento e da chi;
  • deve essere possibile ripristinare tempestivamente la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in caso di incidente fisico o tecnico;
  • siano utilizzati criteri di “security by design” per la progettazione dei e che, di default, tali prodotti implementino le impostazioni più sicure, ed infine che il software e l’hardware dei siano costantemente aggiornati per mezzo di meccanismi protetti.

Tenendo conto che non tutti i sistemi, processi e servizi hanno lo stesso profilo di rischio, il Cybersecurity Act prevede tre livelli di certificazione differenti (art. 52 commi 5, 6 e 7):

  • Un livello di affidabilità “di base” per il quale può bastare un riesame della documentazione tecnica, attività di valutazione sostitutive di effetto equivalente. Il livello base è l’unico per il quale il produttore/fornitore può ricorrere all’autocertificazione, ove prevista.
  • Un livello di affidabilità “sostanziale” per il quale per il quale la valutazione di sicurezza è effettuata a un livello inteso a ridurre al minimo i rischi di incidenti ed attacchi informatici commessi da soggetti che dispongono di abilità e risorse limitate. Le attività di valutazione comprendono almeno un test per verificare l’assenza di vulnerabilità pubblicamente note e un test per dimostrare che i prodotti o servizi attuino correttamente le necessarie funzionalità di sicurezza.
  • Un livello di affidabilità “elevato“, per il quale la valutazione di sicurezza è effettuata a un livello inteso a ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative. Le attività di valutazione comprendono: un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note, un test per dimostrare che i prodotti attuano correttamente le necessarie funzionalità di sicurezza allo stato tecnologico più avanzato, e una valutazione della loro resistenza agli attacchi commessi da soggetti qualificati mediante test di penetrazione.

Le caratteristiche della certificazione

Questo insieme minimo di caratteristiche individua già alcuni obiettivi ben precisi che lo schema di certificazione si porrà. Le prime sono sicuramente la trasparenza e la verificabilità nell’utilizzo dei dati e delle informazioni generati, utilizzati o trasmessi dai sistemi certificati. In pratica l’obiettivo è quello di rendere evidente e tangibile l’affidabilità, da questo punto di vista, del prodotto o del servizio a cui ci si affida. Gli scandali come quello di Cambridge Analytica (per citarne solo uno) hanno insegnato che i nostri dati, senza un appropriato quadro normativo e sanzionatorio, rischiano di essere sfruttati da attori che non conosciamo, per obiettivi con cui non siamo d’accordo.

Se il GDPR è stato un importante passo in questa direzione, è chiaro che si tratta di uno strumento troppo potente e complesso per rispondere alle esigenze di sicurezza generate dal numero montante di dispositivi che raccolgono e registrano le informazioni della nostra vita quotidiana: contatti, telefonate, conversazioni, navigazione internet, attività fisica, pressione arteriosa, elettrocardiogramma… E’ evidente l’opportunità di un “bollino di sicurezza” che da un lato garantisca l’utente circa la confidenzialità e trasparenza con cui i dati saranno trattati, e dall’altro permetta alle aziende più serie di differenziarsi e di diminuire la diffidenza dei cittadini rispetto ai prodotti offerti. Non solo, alcuni requisiti minimi come la security by design e la security by default permettono di rassicurare l’utilizzatore, anche non esperto, che la sua protezione sarà assicurata anche senza la necessità di dover andare lui stesso ad applicare settaggi ed impostazioni spesso oscuri e poco comprensibili.

Una seconda direttrice individuata dai requisiti minimi definiti nell’articolo 51 è l’affidabilità del prodotto, intesa come la sua capacità di continuare ad operare, non essere facilmente manomissibile e possa essere ripristinato celermente. Qui è evidente come ENISA ed il Parlamento Europeo abbiano considerato la crescente criticità dei sistemi informatici per quanto riguarda la sicurezza anche fisica dei loro utilizzatori. Non possono non venire in mente gli incidenti dei voli Ethiopian 302 e Lion Air 610, che hanno provocato centinaia di vittime, dovuti ad un errore del software di volo dell’aereo. E’ chiaro che il diffondersi molto rapido di sistemi automatici a cui, più o meno consapevolmente, affidiamo la nostra salute e, perché no, le nostre vite – dagli apparati biomedicali ai sistemi di guida assistita sulle automobili – rende urgente la creazione e l’adozione di una schema di certificazioni che possa garantire l’utilizzatore circa il rispetto di alcuni criteri minimi di sicurezza e di affidabilità, così come già fatto, ad esempio, con l’introduzione del marchio “CE”, con il quale il fabbricante di un prodotto regolamentato nell’Unione europea, dichiara che il prodotto è conforme ai requisiti di sicurezza previsti dalle direttive o dai regolamenti comunitari applicabili.

L’ultima caratteristica, non disgiunta dalle prime due, è costituita dalla garanzia dell’aggiornamento continuo. Si tratta di un’esigenza spesso poco considerata nei prodotti di consumo, di solito venduti come oggetti statici ed “isolati”, che rimarranno uguali per tutto il loro ciclo di vita, salvo interventi di manutenzione per rotture: si pensi ad un ferro da stiro, o ad un asciugacapelli. Questa situazione non è però accettabile per il mondo dei dispositivi intelligenti, specialmente nell’ambito della cybersecurity. Un oggetto in grado di utilizzare protocolli informatici per comunicare con l’esterno, sia esso uno smartwatch un impianto di allarme o un frigorifero Wi-Fi, anche se al momento del rilascio è garantito come esente da vulnerabilità (e già questa garanzia, per chi lavora nel settore, non rappresenta mai una certezza assoluta), certamente non lo rimarrà a lungo, perché nuove vulnerabilità e nuovi sistemi di attacco vengono individuati continuamente. È quindi necessario garantire un processo continuo di verifica e aggiornamento del prodotto stesso, che garantisca che il livello di sicurezza e privacy sia mantenuto nel tempo.

Organizzazione Europea prevista dal Cybersecurity Act

Gli articoli 58-60 del regolamento stabiliscono l’organizzazione delle autorità di Certificazione, specificando che ogni stato membro deve dotarsi di una o più Autorità nazionali di certificazione della sicurezza, accreditate presso ENISA e sottoposte ad un regime di controllo sia verticale, effettuato da ENISA, sia orizzontale fra le altre autorità, per garantire l’uniformità e la regolarità di applicazione dei criteri di certificazione. Le Autorità nazionali hanno sia il compito di rilasciare le certificazioni, sia di vigilare sulla correttezza dell’applicazione delle norme previste dalla certificazione.

Le Autorità nazionali, a loro volta, possono assegnare una delega generale del compito di rilasciare tali certificati europei di cybersecurity a uno o più organismi di valutazione della conformità. In questo modo si offre la possibilità, ad aziende private operanti nel settore della cybersecurity o della certificazione, di accreditarsi presso gli enti nazionali per poter effettuare i controlli previsti per il rilascio ed il mantenimento della certificazione di prodotti o servizi e rilasciare certificati aventi valore nell’intera unione europea.

Un passo nella giusta direzione?

Con la recente introduzione della direttiva NIS e della GDPR, l’Unione Europea ha mostrato di avere un piano coerente per la protezione delle infrastrutture critiche e della privacy dei propri cittadini. I due strumenti, adatti a normare le attività dei grandi attori infrastrutturali (direttiva NIS) o le aziende medio-grandi che raccolgono e trattano dati personali, lasciavano però scoperta l’area dei numerosi dispositivi e servizi di uso comune – i già citati smartwatch o SmartTV – la cui adozione è sempre più diffusa ma il cui funzionamento, specie nell’area della raccolta e dell’uso di informazioni personali, rimangono spesso poco chiare per l’utilizzatore finale, così come poco chiari (per usare un eufemismo) sono i meccanismi di protezione adottati da questi stessi strumenti per difendere la privacy dei suoi utilizzatori da eventuali “attori malevoli”. Il Cybersecurity Act sembra voler proprio colmare questo divario, fornendo un quadro normativo europeo per certificare il livello di sicurezza offerto dai prodotti, che si configura quindi come uno strumento di più per favorire una scelta consapevole da parte del cliente/utente.

Questa strategia inoltre aiuta a migliorare l’armonia del mercato interno, in quanto il valore “europeo” della certificazione pone un argine alla creazione di certificazioni nazionali e disarmoniche, che possono costituire un freno allo sviluppo del mercato unico digitale, rappresentando così un importante strumento commerciale per certificare l’eccellenza europea nella protezione dei diritti digitali dei propri cittadini.

In aggiunta, fornisce ai produttori europei un valido strumento per proteggersi dalla concorrenza di prodotti a basso costo, provenienti da paesi non-UE, che magari propongono prodotti a prezzi più bassi lesinando sulla implementazione delle adeguate misure di sicurezza e di protezione dei dati. In questo modo il Cybersecurity Act si pone come strumento di pressione verso l’esterno, da un lato come strumento di “pressione” che l’Europa può e vuole esercitare sui mercati non-EU per incoraggiarli al rispetto delle regole concorrenziali, dall’altro obbligando tutti coloro che vogliano offrire i propri prodotti e servizi all’interno dell’UE, alla adozione di buone pratiche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4