Cyber security, certificazioni e sanzioni: come prosegue l’adeguamento alle norme Ue - Agenda Digitale

Il disegno di legge

Cyber security, certificazioni e sanzioni: come prosegue l’adeguamento alle norme Ue

Il disegno di legge di delegazione europea 2019-2020 prevede un riordino del quadro nazionale sulla certificazione della sicurezza informatica e la definizione del sistema delle sanzioni applicabili. Il punto sulle novità

23 Apr 2021
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Andrea Fumagalli

Analyst Hermesbay

Lorenzo Toccaceli

Analyst Hermesbay

Foto di Pete Linforth da Pixabay

Il 31 marzo 2021 la Camera dei deputati ha approvato il disegno di legge di delegazione europea 2019-2020 (C. 2757) apportando una modifica al testo già licenziato in prima lettura dal Senato.

Il provvedimento si compone di 29 articoli che riguardano il recepimento di direttive europee e l’adeguamento a regolamenti, tra cui quello relativo all’ENISA (European Network and Information Security Agency), l’Agenzia dell’UE per la cybersecurity. Il Ddl prevede un riordino del quadro nazionale sulla certificazione della sicurezza informatica e la definizione del sistema delle sanzioni applicabili.

Il Regolamento relativo all’ENISA e alla certificazione della cybersecutity per le tecnologie dell’informazione e della comunicazione

Il 27 giugno 2019 è entrato in vigore il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio, in materia di sicurezza informatica, il Cybersecurity Act. La misura modifica i termini di funzionamento e il mandato dell’ENISA, e introduce una seconda linea su cui l’azione strategica europea dovrà svilupparsi: la certificazione comune della cybersecurity. L’Agenzia europea ha un ruolo centrale nell’elaborazione dei sistemi di certificazione e promuove l’adozione del nuovo sistema anche attraverso la creazione di un sito web dedicato (Certification — ENISA (europa.eu)). Inoltre, organizza esercitazioni periodiche di cyber security a livello dell’UE, compresa, ogni due anni, una globale su larga scala. È prevista anche la creazione di una rete di funzionari nazionali di collegamento che faciliti la condivisione delle informazioni tra l’Agenzia e gli Stati membri.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

I princìpi direttivi della legge di delegazione 2019/2020

La legge di delegazione europea è uno dei due strumenti – insieme alla legge europea – di adeguamento all’ordinamento dell’Unione introdotti dalla legge 24 dicembre 2012, n. 234, che ha attuato una riforma organica delle norme che regolano la partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’UE. In sintesi, conferisce al Governo la delega legislativa per l’attuazione delle direttive europee, per la modifica o l’abrogazione di disposizioni statali vigenti – limitatamente a quanto necessario per garantire la conformità dell’ordinamento nazionale ai pareri motivati indirizzati all’Italia dalla Commissione europea – per recepire le direttive, per la disciplina sanzionatoria di violazioni di atti normativi dell’UE e per l’adozione di disposizioni integrative e correttive dei decreti legislativi.

In tema di cybersecurity, la delega approvata dalla Camera propone di introdurre precisazioni, relativamente all’ENISA e al quadro delle certificazioni sulla sicurezza cyber. All’articolo 18, sono infatti presenti i princìpi e criteri direttivi per l’adeguamento della normativa nazionale alle disposizioni del titolo III del regolamento (UE) 2019/ 881.

Innanzitutto, viene identificato il decreto legislativo come lo strumento per garantire l’adeguamento della normativa interna italiana al titolo III del Cybersceurity Act. Successivamente si definiscono i princìpi direttivi specifici che il Governo deve seguire per esercitare la delega di adeguamento. Nello specifico il Governo designa il Ministero dello sviluppo economico quale autorità competente per il recepimento della normativa europea a livello nazionale. In questo caso il Governo agisce seguendo quanto sancito dall’articolo 58 del regolamento (UE) 2019/881, individuando anche l’organizzazione a cui affidare l’esecuzione delle attività in capo al Mise.

Viene altresì affidato all’Esecutivo il compito di definire il sistema di sanzioni da applicare, prevedendo che gli introiti derivanti dall’attività sanzionatoria siano versati nel bilancio dello Stato e poi riassegnati al Ministero dello sviluppo economico per finalità di ricerca e formazione in materia di certificazione della cyber security. Le sanzioni amministrative pecuniarie, continua il paragrafo, non devono essere inferiori nel minimo a 15.000 euro e non devono essere superiori nel massimo a 5.000.000 di euro. Infine, l’articolo 18 affida ancora al Mise il potere di revocare i certificati, rilasciati ai sensi dell’articolo 56 del regolamento (UE) 2019/881, ed emessi sul territorio nazionale, salvo diverse disposizioni dei singoli sistemi europei di certificazione che sono stati adottati.

Conclusioni

L’auspicio è che il Cyber Security Act porti una nuova ventata di standardizzazione nei temi di sicurezza. Trattandosi di un Regolamento europeo, in vigore dalla emanazione, gli atti delegati riguarderanno aspetti tecnici seppur di rilievo (come le sanzioni).

L’argomento degli schemi certificativi europei è comunque appena nato. Il regolamento stabilisce i poteri e il cosiddetto rolling program, programma di lavoro sul quale la Commissione, e in particolare DG Connect, si sta impegnando in cooperazione stretta con ENISA, ma gli schemi dovranno essere elaborati, designati e resi operativi sia a livello generico di cyber security, sia per le singole tecnologie (dal 5G all’IoT, alla criptazione, e così via).

Ci aspettiamo dunque un quinquennio intenso sul dibattito relativo agli standard di cyber security.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3