Nuove certificazioni europee – Cybersecurity Act


Il Parlamento Europeo ha ufficialmente approvato il nuovo “Cybersecurity Act”, annunciato nel settembre 2017 e, dopo un lungo iter approvativo, entrato in vigore in tutta l’Unione europea lo scorso 27 giugno.

Il nuovo regolamento getta quindi le basi per la costituzione di una disciplina comunitaria di contrasto agli attacchi informatici, con l’obiettivo di rendere più competitive le aziende a livello mondiale grazie ad una struttura unificata di certificazione sulla sicurezza informatica.

  1. L’ENISA
  2. Il Cybersecurity Act – Reg. UE 2019/881
  3. Il nuovo sistema di certificazione comunitario

1. L’ENISA

L’agenzia Europea Per La Sicurezza Delle Reti E Dell’informazione (ENISA), è stata fondata nel 2004 al fine di migliorare i livelli di sicurezza in ambito informatico e delle telecomunicazioni e contribuire allo sviluppo della cultura sulla sicurezza digitale. Il nuovo regolamento ne ha reso permanente il mandato con un contestuale aumento di poteri ed una riallocazione delle risorse.

L’agenzia non si limiterà più a prestare un mero supporto tecnico nella gestione operativa in materia di cyber-sicurezza, ma assisterà in maniera più attiva i governi, diventando così il nuovo punto di riferimento europeo per la gestione di tematiche ormai così delicate.

2. Cybersecurity Act

Voluto dalla commissione guidata dal Presidente Juncker, il Cybersecurity Act mira a creare un mercato unico sulla sicurezza digitale di prodotti, di servizi e di processi al fine di rendere più competitive le imprese europee e garantire, dunque, maggiori tutele ai cittadini dell’Unione.

Il regolamento si affianca alla prima grande misura adottata dalla commissione nel 2016, la direttiva NIS, rispetto alla quale risulta maggiormente pervasivo e capace di uniformare e rendere più efficace la lotta al cyber crimine senza più limitarsi a specifici settori. Un segnale incoraggiante, questo, se pensiamo al costante aumento di “dispositivi connessi” (IoT) via via più presenti nelle case di italiani ed europei e sempre più spesso oggetto di attacchi informatici.

3. Il nuovo sistema di certificazione comunitario

Tra le novità più importanti, il Cybersecurity Act affida all’ENISA lo sviluppo di un nuovo schema di certificazione unica in materia di sicurezza informatica: più semplice e meno costoso per le aziende, questo strumento contribuirà a garantire la facilità degli scambi economici all’interno dell’Unione e ad accrescere la fiducia dei consumatori.

La creazione di schemi di certificazione riguardanti prodotti e sistemi ICT non è, a dire il vero, una novità: sono molti, infatti, i modelli attualmente presenti nel panorama europeo (in Italia, ad esempio, l’ISCOM si occupa già da tempo di certificare prodotti e servizi informatici): ciò che tuttavia fino ad oggi è mancato è il loro riconoscimento su base comunitaria, il quale, con il Reg. 2019/881, verrà finalmente garantito.

L’adozione delle certificazioni sarà obbligatoria solamente in alcuni casi, come ad esempio nelle ipotesi di partecipazione a bandi pubblici, e prevederà tre differenti livelli di rischio, distinti a seconda della tipologia e della complessità costruttivo-operativa del prodotto o del servizio.

Gli schemi verranno predisposti dall’ENISA con la collaborazione di altre agenzie europee (European Cybersecurity Certification Group – ECCG, Computer Emergency Response Team CERT-UE) e poi ancora università, associazioni ed organismi di sicurezza, etc. e in un secondo momento approvati direttamente dalla Commissione: le aziende che intenderanno certificare i propri prodotti potranno quindi rivolgersi a specifici organismi accreditati (per l’Italia: Accredia).

Lo schema di certificazione europeo che l’ENISA dovrà costruire dovrebbe inizialmente riguardare prodotti ICT e servizi digitali già in uso nel settore automobilistico e del trasporto aereo, nel settore dei dispositivi medici e in quello dei dispositivi personali “sempre connessi”.

Se ti è piaciuto l'articolo condividi: