L’impianto delineato, nel settembre del 2017, dell’ambiziosa strategia dell’Unione europea in materia di sicurezza cibernetica ruota attorno a tre pilastri strategici. Il primo, è quello di garantire una maggiore e più ampia resilienza e difesa dei sistemi informativi dei Paesi membri. Il secondo, si fonda sullo sviluppo di migliori capacità di generare deterrenza nei soggetti terzi dall’effettuare attacchi cibernetici. Il terzo, infine, riguarda la cooperazione dei Paesi membri tra loro e a livello internazionale, nonché l’instaurazione di una reale condivisione delle informazioni tra il settore pubblico e quello privato.
All’interno della macro-area inerente il rafforzamento della resilienza dell’Unione europea agli attacchi cibernetici, la nuova strategia promuove numerose azioni da attuare o addirittura da finalizzare, alcune anche nel brevissimo periodo, sia centralmente, che a livello di singoli Paesi membri.
Una di queste azioni – senza dubbio la più importante per le sue ricadute – è quella di ampliare il mandato dell’Enisa, trasformandola nell’Agenzia Europea per la Cybersecurity, e contestualmente istituire un quadro europeo di certificazione della sicurezza cibernetica di prodotti e servizi. Progetto, quest’ultimo, appena accettato dalla Commissione per l’Industria, Ricerca ed Energia (Itre) del Parlamento europeo.
Occorre evidenziare fin da subito come l’istituzione di un quadro europeo di certificazione contribuirà in maniera evidente anche al raggiungimento di quell’auspicabile dovere di diligenza del settore industriale, utile ad implementare reali metodologie di “sicurezza fin dalla progettazione” di prodotti, servizi e sistemi. Sicurezza fin dalla progettazione che, in realtà, costituisce il vero obiettivo al quale l’Unione europea mira nel medio periodo. Peraltro tale quadro, oltre ad aumentare la fiducia dei consumatori sulla sicurezza di ciò che viene acquistato e utilizzato, fornirà anche innegabili vantaggi alle imprese, che per operare a livello transnazionale non saranno più costrette a seguire differenti processi di certificazione, limitando così anche ulteriori costi amministrativi e finanziari.
Tuttavia, per il principio di sussidiarietà e fatte salve eventuali e future diverse disposizioni rinvenibili nelle legislazioni nazionali o dell’Unione, il decisore europeo non ha potuto far altro che rendere esclusivamente volontaria l’adesione delle aziende al futuro quadro di certificazione paneuropeo. Appare chiaro, però, come lasciare spazio alla decisione dei governi nazionali sull’obbligatorietà o meno di una necessità così evidente e urgente, se da un lato fa certamente tirare un sospiro di sollievo alle aziende interessate, nei fatti rischia di posticipare nel tempo un bisogno che, all’alba della massiva commercializzazione, ad esempio, dei sistemi cyber fisici (Internet of Things), appare essere ormai improcrastinabile.
Pertanto, è da accogliere con estremo favore l’odierna attività del Parlamento europeo, che, attraverso la sua relazione, aggiunge misure che renderanno questa certificazione obbligatoria per le cosiddette infrastrutture critiche. Previsioni originariamente non incluse all’interno del Cybersecurity Act proposto dalla Commissione nel settembre del 2017.
Sul piano attuativo, invece, un ruolo fondamentale nella realizzazione di questo primo quadro europeo di certificazione spetterà all’Enisa, la quale avrà il compito di supportare la Commissione europea e l’European Cybersecurity Certification Group – l’organo composto dai rappresentanti delle Autorità nazionali di Supervisione della Certificazione di tutti gli Stati membri – proprio nella sua predisposizione.
Sotto questo punto di vista, appare certamente interessante evidenziare come, attraverso l’azione del Dipartimento delle Informazioni per la Sicurezza (Dis), il governo italiano abbia precorso i tempi e posto in luce in maniera lungimirante – per la precisione nel maggio 2017 – proprio l’esigenza di istituire un centro di valutazione e certificazione nazionale Ict. Il nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica, infatti, pone in carico al Ministero dello Sviluppo Economico, oggi guidato dal ministro Di Maio, gli indirizzi operativi volti a: gestire lo schema nazionale di certificazione della sicurezza informatica per prodotti e sistemi Ict commerciali (che trattano dati non classificati) attraverso l’Organismo di Certificazione della Sicurezza Informatica (Ocsi); mantenere aggiornato uno schema nazionale per la certificazione dei processi utilizzati dai sistemi informativi; garantire l’operatività del Ce.Va – Centro Valutazione – quale laboratorio di sicurezza informatica che opera nella valutazione tecnica di prodotti e sistemi Ict che trattano dati classificati; partecipare ai lavori degli organi di indirizzo degli accordi di mutuo riconoscimento internazionale nel settore delle certificazioni; ampliare lo spettro d’azione del Dis-Ucs e ai fini del rilascio delle certificazioni di sicurezza e omologazioni di apparati e sistemi che gestiscono informazioni classificate, prevedendo procedure di verifica estese anche agli ambiti non classificati onde valutare la sicurezza complessiva dei sistemi in uso (classificati e non).
L’obiettivo – anche in questo caso tanto utile e imprescindibile quanto ambizioso – è ovviamente quello di favorire la realizzazione di una catena di approvvigionamento di componenti hardware e software sicuri e resilienti dal punto di vista della sicurezza cibernetica, supportata da un processo flessibile e veloce di validazione, verifica e certificazione.
Un tassello, questo, indispensabile per creare quell’auspicabile livello elevato di cybersecurity e di resilienza dei sistemi informatici utili sia dal punto di vista della crescita economica, che della sicurezza nazionale.
Quindi, seppure il governo italiano sia stato precursore nei tempi, il ministro Di Maio dovrebbe continuare a credere fortemente in questo importantissimo progetto, avendo l’accortezza di allinearlo, ove opportuno, con quanto sarà previsto all’interno del Cybersecurity Act dell’Unione europea. Infatti, appare oggi di poca utilità creare schemi nazionali di certificazione della sicurezza informatica, nell’imminenza del varo di un quadro comune europeo.
