Il Cybersecurity Act e le nuove sfide del Mercato Unico Digitale

Indice

Il 13 settembre 2017, nel discorso annuale sullo stato dell’Unione, il presidente della Commissione europea Jean-Claude Juncker aveva dichiarato: “Nel corso degli ultimi tre anni abbiamo fatto passi avanti nel preservare l’incolumità dei cittadini europei online. Ma l’Europa non è ancora ben attrezzata per difendersi dai ciberattacchi. Per aiutarci a difenderci, la Commissione propone oggi nuovi strumenti, tra cui un’agenzia europea per la cibersicurezza“.

Le priorità erano sostanzialmente due: costituire e rafforzare il ruolo e le funzioni di un’agenzia dell’Unione europea per la cibersicurezza, intesa ad assistere gli Stati membri in caso di cyber attacchi, istituire un nuovo sistema europeo di certificazione per garantire la sicurezza dei prodotti e dei servizi nel mondo digitale. 

Tale esigenza nasce senza dubbio dall’intento di creare un ciberspazio aperto, libero, sicuro e dalla consapevolezza che nessun Paese può affrontare da solo le nuove sfide della cybersecurity, ma è necessario promuovere ed applicare norme di comportamento responsabile da parte degli Stati, nonché incrementare iniziative di cooperazione. A ciò si aggiunge il non meno importante intento di rafforzare la fiducia dei cittadini e delle imprese nel mondo digitale, per affermare lo sviluppo di un Mercato unico digitale; considerata l’ormai incontrollata diffusione di ciberattacchi su vasta scala, standard di cibersicurezza elevati sono necessari e devono diventare il nuovo vantaggio competitivo delle imprese. Senza tralasciare poi l’evidenza che l’uso delle reti e dei sistemi informativi da parte di cittadini, organizzazioni e imprese di tutta l’Unione è attualmente molto diffuso e che svolge un ruolo essenziale nella crescita economica e sociale.  Peraltro, con l’avvento dell’Internet of Things,nel prossimo decennio sarà disponibile in tutta l’Unione un numero estremamente elevato di dispositivi digitali connessi, ma la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che li rende inadeguati sotto il profilo della cibersicurezza.

Tali premesse ci fanno ben comprendere come sia diventato fondamentale dotarsi di un assetto regolatorio e organizzativo idoneo a gestire le opportunità, ma anche i rischi insiti nel cyberspace

Dopo l’approvazione della Direttiva NIS e del Regolamento UE 679/2016 (GDPR), le istituzioni europee continuano ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea. È stato infatti di recente adottato il Regolamento (UE) 2019/881 – cosiddetto Cybersecurity Act– volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA).

Il Cybersecurity Act– pubblicato in Gazzetta Ufficiale il 7 giungo 2019 e che entrerà in vigore il 27 giugno 2019, abrogando il Regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») – vista la sua natura giuridica di Regolamento sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di attuazione da parte dei singoli Stati, salvo alcuni limitati ambiti, quali il sistema sanzionatorio. Inoltre alcuni articoli entreranno in vigore in un momento successivo, in quanto prevedono deleghe alle autorità nazionali di certificazione della cybersecurity.

Per la prima volta – e proprio all’interno Cybersecurity Act– leggiamo una definizione precisa e ufficiale di cibersicurezza, intesa come:

l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche

Il Regolamento (UE) 2019/881, che ha lo scopo di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione, si compone di due parti: una prima parte dedicata alla descrizione di <<obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA, («Agenzia dell’Unione europea per la cibersicurezza>>; una seconda parte che presenta, invece, <<un quadro per l’introduzione di sistemi europei di certificazione della cibersicurezza al fine di garantire un livello adeguato di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC nell’Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cibersicurezza nell’Unione>>.

Come già detto, è previsto un rafforzamento dei compiti e delle funzioni dell’attuale Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), cui sarà ora garantito un mandato permanente e a cui saranno devoluti non più compiti di mera consulenza tecnica, ma anche attività di supporto agli Stati membri nella gestione operativa degli incidenti informatici, fornendo così un sostegno più concreto, anche rispetto all’attuazione della Direttiva NIS. Tra i compiti dell’ENISA si annovera quello di fornire pareri e competenze in materia di cibersicurezza per le istituzioni, gli organi e gli organismi dell’Unione, nonché per altri portatori di interessi, fungendo così da centro di informazioni e conoscenze dell’Unione. L’Agenzia dovrà fornire, inoltre, suggerimenti strategici alla Commissione e agli Stati membri, fungere da punto di riferimento per iniziative politiche settoriali dell’Unione sulle questioni di cibersicurezza e promuovere la cooperazione operativa tra gli Stati membri, le istituzioni, gli organi e gli organismi dell’Unione. Il supporto dell’ENISA agli Stati membri dovrà essere considerevole anche nel campo della sensibilizzazione e dell’istruzione in materia di cibersicurezza, informando e formando l’opinione pubblica sui rischi connessi alla cibersicurezza.

L’ENISA contribuirà altresì a istituire e attuare il quadro di certificazione per garantire che i prodotti e i servizi siano sicuri sotto il profilo cibernetico. La logica è la stessa sottesa alla diffusione delle etichette alimentari dell’UE, grazie alle quali i consumatori riconoscono che il prodotto che scelgono di mangiare risponde a determinati standard di qualità; allo stesso modo i nuovi certificati europei di cibersicurezza garantiranno l’affidabilità di dispositivi che oggi fanno funzionare le infrastrutture critiche – quali le reti energetiche e di trasporto – ma anche di nuovi dispositivi, come ad esempio  automobili connesse, dispositivi medici, sistemi di controllo industriale, o in generale i device dell’Internet of Things ormai di largo consumo.

L’Articolo 46 riguarda l’istituzione del quadro europeo di certificazione della cibersicurezza, previsto <<al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC>>.

Tale quadro di certificazione prevede un meccanismo volto a istituire sistemi europei di certificazione della cibersicurezza e ad attestare che i prodotti, servizi e processi ICT siano conformi a determinati requisiti di sicurezza, al fine di proteggere la disponibilità, autenticità, integrità e riservatezza dei dati trattati. Gli schemi di certificazione non rappresentano una novità assoluta, in quanto in alcuni Stati dell’UE – e anche in Italia– già esistevano, pur non essendo riconosciuti all’estero e inibendo, pertanto, la possibilità per molte imprese di operare a livello transnazionale. Il Cybersecurity Act intende ovviare a tali problemi attraverso l’armonizzazione degli schemi europei di certificazione della sicurezza informatica. È opportuno precisare, però, che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea un “quadro” generale per la loro istituzione. Gli schemi europei di certificazione saranno predisposti dapprima dall’ENISA e successivamente adottati dalla Commissione europea. A seguito di questa adozione, le aziende interessate potranno presentare domanda di certificazione dei propri prodotti o servizi agli organismi accreditati. Il ricorso alla certificazione è volontario, a meno che specifiche norme di settore non lo rendano obbligatorio limitatamente a determinate categorie di prodotti o servizi.

Con il Cybersecurity Act, quindi, si persegue un altro obiettivo importante e allo stesso tempo sfidante, ossia quello di accrescere la consapevolezza dei cittadini, delle organizzazioni e delle imprese circa le questioni riguardanti la cibersicurezza, nella consapevolezza che essa non attiene esclusivamente alla tecnologia di sistemi, reti o prodotti, ma anche al comportamento umano: le imprese e i singoli consumatori dovrebbero disporre di informazioni precise sul livello di affidabilità con cui è stata certificata la sicurezza dei prodotti utilizzati e/o acquistati; i produttori o i fornitori coinvolti nella progettazione e nello sviluppo di prodotti IT dovrebbero essere incoraggiati ad implementare misure di sicurezza già nelle prime fasi di progettazione e sviluppo, così come richiesto anche dal principio di privacy by design previsto dal nuovo Regolamento europeo sulla protezione dei dati personali (GDPR).

Il quadro europeo di certificazione della cibersicurezza risponde chiaramente all’intento di garantire una “security by design”, ovvero assicurare la sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti e servizi ICT, nonché all’altrettanto nobile intento di garantire trasparenza e sicurezza – nel senso di affidabilità e fiducia – a tutti gli attori che operano a vario titolo nel cyberspazio e che usufruiscono degli strumenti offerti dal mondo digitale. 

Riferimenti:

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?_sp=e2892c20-a35e-437d-a6d2-632ef2d1f3f6.1560246397791&uri=CELEX:52017JC0450&from=EN

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?_sp=e2892c20-a35e-437d-a6d2-632ef2d1f3f6.1560246434296&uri=CELEX:32019R0881&from=EN