Dopo l’approvazione della Direttiva NIS nel 2016 – trasposta in Italia dal D.Lgs. 65/2018 – le istituzioni europee continuano ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea.
La principale di queste misure recentemente adottate consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act. Il Regolamento è stato pubblicato in Gazzetta Ufficiale il 7 giugno 2019 ed è entrato pienamente in vigore il 27 giugno 2019.
Che cos’è il Cybersecurity Act
Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.
Il Cybersecurity Act si compone di due parti:
- nella prima vengono specificati il ruolo e il mandato dell’Enisa,
- nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.
Trattandosi di un Regolamento, il Cybersecurity Act è immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanto riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.
Il nuovo ruolo di ENISA
Il primo punto del Cybersecurity Act riguarda il rafforzamento del ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA).
Fino ad oggi, il ruolo di ENISA è stato principalmente quello di assistere in termini tecnici gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi e a rafforzare la propria capacità di prevenire, rilevare e reagire agli incidenti informatici. La gestione operativa degli incidenti informatici rimane comunque una competenza esclusiva degli Stati membri.
Il Cybersecurity Act rafforza il ruolo di ENISA garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. In questo modo ENISA potrà fornire un sostegno più concreto, anche rispetto all’attuazione della Direttiva NIS.
Ad ENISA spetterà inoltre un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.
Certificazione della sicurezza informatica di prodotti e servizi digitali
La seconda parte del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare lo scambio degli stessi all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei medesimi.
La costituzione di schemi di certificazione specifici per prodotti e sistemi ICT è già presente in molti Stati Europei. Ad esempio, in Italia, l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Iscom, operante presso il Ministero dello Sviluppo Economico) certifica la sicurezza informatica di prodotti e sistemi ICT secondo lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione istituito dal DPCM del 30 ottobre 2003. Tuttavia, molti degli schemi di certificazione esistenti non vengono riconosciuti all’estero, o almeno non in tutti gli Stati membri. Ciò obbliga le imprese ad espletare vari processi di certificazione per operare a livello transnazionale. E’ da notare che, al momento, i costi di certificazione tendono ad essere piuttosto elevati per le imprese. Ad esempio, in Germania, i costi per la certificazione di contatori elettrici intelligenti sono superiori a 1 milione di Euro, mentre nel Regno Unito e in Francia i costi per ottenere analoga certificazione ammontano a circa 150.000 Euro.
Il Cybersecurity Act intende ovviare ai problemi di cui sopra introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica. Occorre però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione, da predisporsi per specifiche categorie di prodotti e servizi, comporterà che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in tutti gli Stati membri.
Gli schemi europei di certificazione previsti dal Cybersecurity Act saranno predisposti, in prima battuta, da ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione. I dispositivi medici, i sistemi di controllo industriali e i veicoli automatizzati sono alcuni esempi dei prodotti per i quali è probabile che verrà reso disponibile uno schema europeo di certificazione.
Una volta adottato uno schema europeo di certificazione da parte della Commissione, le aziende interessate potranno presentare domanda di certificazione dei propri prodotti o servizi a specifici organismi accreditati, salvo che lo schema di certificazione in questione non consenta alle aziende di procedere ad una autovalutazione di conformità (solo per prodotti e servizi a basso rischio). L’utilizzo della certificazione rimarrà però volontario, a meno che la certificazione venga espressamente richiesta per determinate categorie di prodotti o servizi da specifiche norme di settore.
Gli schemi europei di certificazione andranno gradualmente a rimpiazzare gli omologhi schemi di certificazione nazionali, ma i certificati rilasciati sulla base di questi ultimi rimarranno validi sino alla loro scadenza naturale.
L’istituzione di un sistema comune di certificazione di questo tipo favorirà la cosiddetta “security by design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti ICT, inclusi quei dispositivi di consumo connessi alla rete che costituiscono il cosiddetto “internet delle cose” o “IoT”.
Sono previsti tre livelli di certificazione:
- High Level: basato sulla forte competenza di SOGIS MRA, questo sarà probabilmente il primo schema sviluppato in Europa
- Substantial: che richiede uno sforzo limitato ma include, ad esempio, il test di funzionalità per raggiungere un livello significativo di sicurezza per i prodotti in ambiente a rischio medio
- Basic: con la possibilità di autovalutazione per renderlo fruibile ed economico.
In pratica non solo i dispositivi potranno essere certificati, ma anche i sistemi complessi (come ad esempio i sistemi manifatturieri automatizzati ed in special modo quelli intelligenti che dialogano con i sistemi di gestione aziendale).
La certificazione di sicurezza secondo lo schema che sarà adottato renderà quindi l’azienda compliance agli standard di security by design e security by default presenti in tutte le norme internazionali (ISO 27000, NIST 800, ETSI, etc..).
Con l’avvento del Cybersecurity Act si è quindi completato il quadro degli schemi di sicurezza europei già partito con il GDPR per la protezione dei dati personali (per il quale è in fase di pubblicazione ufficiale la norma ISO 27552 che di fatto estende le norme ISO 27001 e 27002 per il trattamento elettronico di dati personali), poi proseguito con la Direttiva NIS (che ha formalizzato i piani di cybersecurity europei e dei vari stati membri) per arrivare appunto al Cybersecurity Act che, attraverso le norme che verranno rilasciate da ENISA, costituisce in parole povere il GDPR dei dati non personali (qui possiamo parlare di dati aziendali, di business, di proprietà intellettuale e di tutta la mole di informazioni e dati che le aziende trattano e di cui sono in possesso).
M.Armoni
Cybersecurity Consultant & Certified DPO