Lo scorso venerdì, 7 giugno, è stato pubblicato nella Gazzetta ufficiale dell’Unione europea l’atteso Cybersecurity Act, il Regolamento europeo sulla cyber sicurezza, tra certificazioni, standard e tecnologie, che entrerà in vigore formalmente il prossimo 27 giugno 2019.
Il Cybersecurity Act, “allo scopo di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione”, stabilisce nell’Articolo 1 alcuni punti chiave per definire al meglio tra i Paesi dell’Unione “gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA”, ad esempio, l’Agenzia dell’Unione europea per la cybersicurity; ma anche per “definire un quadro regolatorio per l’introduzione di sistemi europei di certificazione della cyber sicurezza”, al fine di garantire un livello adeguato di sicurezza dei prodotti e i servizi relativi al settore delle tecnologie per l’informazione e la comunicazione (Tic) nell’Ue; oltre che al fine di “evitare la frammentazione del mercato interno” per quanto riguarda i sistemi di certificazione della cibersicurezza nell’Unione.
Il regolamento, che dà anche una definizione ufficiale per cibersicurezza (“l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”), prevede inoltre che alcuni articoli, come il 58, il 60 e il 61, il 63, il 64 e il 65, entreranno in vigore tra un anno, delegando alle autorità nazionali di certificazione della cybersecurity.
L’accordo definitivo sul testo era arrivato a dicembre 2018, mentre l’intesa politica tra le Istituzioni europee sul Regolamento è stata trovata a marzo 2019, con il potenziamento del dispositivo della cyber sicurezza europea e il rafforzamento dell’ENISA stessa.
In termini di coordinamento con gli Stati membri e di maggiore dotazione di risorse, il “Cybersecurity Act” prevede per l’Agenzia europea per la sicurezza delle reti e dell’informazione: un mandato permanente per l’Agenzia in sostituzione dell’attuale mandato limitato (che sarebbe scaduto nel 2020), oltre a una maggiore dotazione di risorse per consentire all’agenzia di raggiungere i suoi obiettivi; una base più solida per l’ENISA nel nuovo quadro di certificazione della cibersicurezza per coadiuvare gli Stati membri a rispondere efficacemente agli attacchi informatici, prevedendo un ruolo più forte nella cooperazione e nel coordinamento a livello dell’Unione.
L’ENISA, infine, costituirà un centro indipendente di competenze “che contribuirà a promuovere un elevato livello di consapevolezza presso il pubblico e le imprese, coadiuvando al contempo le istituzioni dell’UE e gli Stati membri nell’elaborazione e nell’attuazione delle politiche”.
Sul Regolamento abbiamo sentito Paolo Dal Cin, Managing Director di Accenture Security e Security Lead per l’Europa e l’America Latina (EALA), che ha affermato: “Il livello di standardizzazione in Europa in tema di cybersecurity è ancora molto basso. In questo contesto il Cybersecurity Act rappresenta sicuramente un passo importante per poter garantire, da un lato un modello operativo che abiliti una collaborazione snella e efficace tra tutti i soggetti all’interno della comunità europea, dall’altro un sistema di certificazione di riferimento che assicuri una protezione adeguata di tutti i prodotti e servizi digitali. Sono tutti elementi che riteniamo indispensabili per mantenere alto il livello di fiducia digitale dei consumatori e di tutto l’ecosistema”.
Sulla cybersecurity come strumento di protezione delle infrastrutture critiche nazionali ed europee e come opportunità per le imprese ed il mercato unico, Dal Cin intervistato a marzo da Key4biz aveva dichiarato: “la cybersecurity non è un costo, ma opportunità di business per le aziende per abilitare nuove opportunità legate all’Innovazione”.
“Con il Cyber Security Act inizia a prefigurarsi quella che sarà la risposta dell’Europa ad un massiccio aumento delle minacce informatiche esplose negli anni scorsi e cresciute in modo preoccupante.
Si tratta di un testo fondamentale che pone l’ENISA come guida della cyber security europea e mette ogni Stato nella condizione di impegnarsi attivamente nel contrasto degli atti dolosi.
È un’Europa che vuole reagire e vuole avere una parte realmente attiva nella protezione dei dati e delle reti. Un segnale di cui avevamo veramente bisogno e che arriva nel momento di maggior bisogno per la sicurezza degli utenti e delle istituzioni”, ha commentato per Key4biz Edoardo Limone, Specialista ICT e Cyber Security Expert.
Il Cybersecurity Act, infine, consentirà la nascita di un “Quadro europeo di certificazione” all’interno del Mercato unico digitale europeo (Art. 46): al fine di migliorare le condizioni di funzionamento del mercato interno, “aumentando il livello di cibersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC”.
Il quadro europeo di certificazione della cibersicurezza, infine, prevede un meccanismo volto a “istituire sistemi europei di certificazione della cibersicurezza” e ad “attestare che i prodotti, servizi TIC e processi TIC valutati nel loro ambito sono conformi a determinati requisiti di sicurezza”, al fine di “proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti”.