Cybersecurity Act il nuovo regolamento UE sulla sicurezza informatica.

Cybersecurity Act

È diventato esecutivo il 27 giugno 2019 il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio, già pubblicato sulla Gazzetta ufficiale dell’UE del 17 aprile 2019, altrimenti conosciuto come Cybersecurity Act, che sarà il nuovo sistema europeo di certificazione della cybersicurezza .

Il Cybersecurity Act introduce, per la prima volta, norme a livello UE per la certificazione della Cybersecurity di prodotti e servizi. La certificazione può creare un vantaggio competitivo per le aziende che vendono i loro prodotti e servizi nell’UE. Inoltre, la certificazione può fungere da catalizzatore delle certificazioni previste per la conformità GDPR.

Il Cybersecurity Act istituisce il Cybersecurity Certification Framework, un insieme di regole, requisiti tecnici, standard e procedure, per la valutazione delle caratteristiche di sicurezza informatica di uno specifico prodotto, servizio o processo, inteso a migliorare la sicurezza informatica dei servizi online e dei dispositivi dei consumatori nell’Unione europea.

Il Cybersecurity Act, nelle disposizioni generali afferma: “Allo scopo di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cybersicurezza, cyberresilienza e fiducia all’interno dell’Unione”, il regolamento stabilisce un quadro per l’introduzione di sistemi europei di certificazione della cybersicurezza al fine di garantire un livello adeguato di cybersicurezza dei prodotti TIC, servizi TIC e processi TIC nell’Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cybersicurezza nell’Unione.”

Inoltre, sempre nelle disposizioni generali, prevede un nuovo mandato con nuove responsabilità per l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) che, pur conservando il nome, ha assunto, giustamente,  il nuovo titolo di : European Union Agency For Cybersecurity.

 

ENISA Cybersecurity Act

Anche la definizione di Cybersecurity è riformulata nel regolamento con la versione ufficiale: “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”.

Nel quadro europeo di certificazione della cybersicurezza, al Titolo III, il regolamento recita: “È istituito il quadro europeo di certificazione della cybersicurezza al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cybersicurezza all’interno dell’Unione e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cybersicurezza allo scopo di creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC”.

È previsto inoltre un “meccanismo volto a istituire sistemi europei di certificazione della cybersicurezza e ad attestare che i prodotti, servizi TIC e processi TIC valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”.

La certificazione sarà riconosciuta in tutti gli Stati membri dell’UE attraverso un meccanismo di one-stop-shop, uno sportello unico, che l’ENISA gestirà. Le aziende beneficeranno del fatto di dover certificare i loro prodotti solo una volta e vedere i loro certificati riconosciuti in tutta l’Unione europea. Questo significa che una società che vuole offrire un prodotto o un servizio nell’UE avrà un unico riferimento per tutti i Paesi dell’UE che si traduce in un risparmio di costi per le aziende, in particolare per le piccole e medie imprese che altrimenti avrebbero bisogno di richiedere diversi certificati in diversi paesi.

La certificazione consente alle aziende di valutare gli standard di sicurezza informatica di uno specifico prodotto o servizio e classificarli in ordine di gravità del rischio. Possono essere richiesti prodotti o servizi per acquisire un diverso livello di certificazione in base al loro uso (ad esempio, una certificazione di base può essere sufficiente per una TV intelligente, ma insufficiente per un dispositivo medico).

La certificazione sarà disponibile per tutti i dispositivi o servizi di consumo offerti nel mercato dell’UE, quali dispositivi connessi, applicazioni AI, servizi sanitari, servizi cloud e servizi di e-health.

Ad esempio, quando un consumatore utilizza uno smartphone certificato o un sito web di Internet banking, la certificazione lo informerà sugli standard e protocolli di sicurezza in atto, sui modi per utilizzare in sicurezza il dispositivo o il sito Web e per quanto tempo il produttore supporterà il dispositivo o il sito web con le patch di sicurezza.

La certificazione incoraggia il paradigma SECURITY BY DESIGN, nel senso che i produttori o i fornitori devono attuare misure appropriate fin dalle prime fasi di progettazione e sviluppo di un prodotto o servizio. La certificazione si baserà il più possibile sugli standard internazionali, compresi gli standard ISO, per ridurre al minimo le barriere commerciali e i problemi di interoperabilità tecnica.

Sebbene la Certificazione sia per ora su base volontaria, quindi i fornitori di tecnologia possono decidere autonomamente se desiderano che i loro prodotti siano certificati o meno, la Commissione Europea può decidere di rendere obbligatorio la Certificazione per settori di importanza critica o rischio elevato per garantire un livello adeguato di sicurezza informatica dei prodotti, servizi e processi.

L’ENISA progetterà diversi schemi di certificazione, tenendo conto di una serie di elementi. In particolare, ogni schema dovrebbe specificare:

  • le categorie di prodotti e servizi,
  • i requisiti di cybersicurezza, ad esempio facendo riferimento a standard o specifiche tecniche,
  • il tipo di valutazione (ad esempio autovalutazione o valutazione di terzi ),
  • gli standard di sicurezza che devono essere soddisfatti e i metodi di valutazione.

 

L’agenzia per la sicurezza informatica dell’UE: ENISA

Fondata nel 2004, con sede in Grecia, l’Agenzia è stata creata per migliorare la sicurezza delle reti e dell’informazione nell’UE ed è cresciuta negli anni diventando un punto di riferimento nel settore, sostenendo gli Stati membri e le istituzioni dell’UE nello sviluppo e nell’attuazione delle politiche, nel rafforzamento delle capacità e nella cooperazione a livello europeo.

Il Cybersecurity Act ha conferito all’ENISA un mandato definitivo ed un nuovo elenco di compiti e responsabilità. In particolare, l’ENISA avrà un ruolo chiave nell’impostazione e mantenimento del quadro di certificazione della cybersicurezza, ad esempio preparando il terreno tecnico per specifici schemi di certificazione e informando il pubblico sugli schemi di certificazione e sui certificati emessi attraverso un sito web dedicato.

L’ENISA è inoltre incaricata di rafforzare la cooperazione operativa a livello dell’UE, aiutando gli Stati membri che lo chiedono, nella gestione degli incidenti informatici e nel sostegno al coordinamento dell’UE in caso di attacchi e crisi su larga scala. Fornire consigli attuativi e concreti agli Stati membri dell’UE per i requisiti relativi alla sicurezza delle informazioni stabiliti nel GDPR, in particolare i requisiti di sicurezza delle informazioni e il principio del SECURITY BY DESIGN .

L’ENISA, inoltre, dovrà intraprendere attività correlate al mercato (standardizzazione, certificazione di sicurezza informatica) per supportare la nuova certificazione, assistere il coordinamento tra organizzazioni, produttori o fornitori di prodotti e servizi ad alto rischio.

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments