Novità per la cyber security del Vecchio continente. Parlamento, Consiglio e Commissione europei hanno raggiunto un accordo negoziale che dovrebbe rafforzare il mandato dell’Agenzia dell’Unione europea per la sicurezza delle reti e dei sistemi, l’Enisa, e introdurre un sistema di certificazione unica (facoltativa) che attesti i livelli di sicurezza informatica per prodotti e servizi. Il testo legislativo ora dovrà ricevere l’ok formale sia da parte dei 28 sia dall’Aula, per essere pubblicato sulla Gazzetta ufficiale ed entrare in vigore così 20 giorni dopo.
LA NUOVA LEGGE
Il testo approvato comprende in primo luogo un mandato permanente per l’Enisa, in sostituzione di quello limitato che sarebbe altrimenti scaduto nel 2020. Oltre a questo, sempre all’agenzia saranno destinate maggiori risorse, nonché più potere per aiutare gli Stati membri a rispondere efficacemente agli attacchi informatici. Un ulteriore compito sarà quello di coordinare gli Stati membri dell’Ue, in particolare per quanto riguarda l’applicazione delle leggi europee, come la recente Direttiva Nis per le infrastrutture critiche. La stessa Enisa cambierà il proprio volto diventando un vero e proprio centro di competenza che nelle intenzioni dovrà contribuire sia a promuovere un alto livello di consapevolezza di cittadini e imprese, sia a sostenere istituzioni europee e Stati membri nell’attuazione delle nuove politiche.
LA CERTIFICAZIONE
Il Cybersecurity Act crea inoltre un sistema per la certificazione europea di sicurezza informatica per prodotti, processi e servizi che saranno validi in tutta l’Unione. Si tratta di uno sviluppo rivoluzionario in quanto è la prima legge sul mercato interno a raccogliere la sfida di migliorare la sicurezza dei prodotti connessi, dei dispositivi “smart” – l’Internet of Things e l’Industry 4.0 – e delle infrastrutture critiche. L’introduzione di etichette che certifichino la sicurezza di prodotti come elettrodomestici e automobili connessi, nonché numerosi dispositivi informatici ed elettronici, permetterà una maggiore trasparenza e consapevolezza circa il loro utilizzo.
COME FUNZIONERÀ
Il nuovo sistema – che agli occhi degli utenti si concretizzerà in una scelta di prodotti con un’etichetta di colore rosso, giallo o verde – certificherà il livello di sicurezza cyber dei prodotti e dei servizi tramite organismi autorizzati al rilascio. Per adesso si tratta di un’iniziativa facoltativa che potrebbe diventare obbligatoria a partire dal 2023. Il quadro di certificazione della sicurezza informatica incorpora diverse caratteristiche di sicurezza, a partire dalle prime fasi della progettazione e dallo sviluppo tecnico.
VANTAGGI PER I CITTADINI E LE IMPRESE
Nelle intenzioni, le nuove regole dovrebbero aiutare i cittadini a fidarsi maggiormente dei dispositivi che utilizzano ogni giorno, poiché daranno la possibilità di scegliere tra prodotti più o meno sicuri. Il quadro di certificazione costituirà uno sportello unico, con un potenziale notevole risparmio economico per le imprese, in particolare le piccole e medie che, altrimenti, avrebbero dovuto richiedere certificazioni diverse per ogni Paese. Una singola e comune certificazione dovrebbe anche eliminare anche le possibili barriere all’ingresso sul mercato.