Un ruolo rafforzato e un mandato permanente per l’agenzia europea per la cyber security, l’Enisa, e un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi alla Rete e di altri prodotti e servizi digitali.
Sono le due innovazioni contenute nel Cybersecurity Act, il regolamento approvato dal Parlamento europeo – con 586 voti favorevoli, 44 contrari e 36 astensioni – in un clima di grande apprensione rispetto ai rischi posti dalle tecnologie cinesi.
UN LUNGO PERCORSO
Si crea così il primo schema a livello europeo per garantire che i prodotti, i processi e i servizi venduti nella Ue soddisfino gli standard di sicurezza informatica e si rende l’Enisa (anche attraverso maggiori risorse) il punto di riferimento cyber per gli Stati membri. Questi aspetti – che si affiancano a un altro tassello di rilievo come la Direttiva Nis – sono una parte rilevante della nuova strategia per la sicurezza informatica dell’Unione, orientata non solo a rafforzare difese e resilienza nei confronti delle sempre maggiori offensive cyber, ma anche di gettare le basi per un mercato unico della cyber security per processi, prodotti e servizi europei.
Tuttavia questo e gli altri provvedimenti citati, ha detto a Cyber Affairs Stefano Mele, avvocato specializzato in diritto delle tecnologie, arrivano dopo un lungo percorso. “Se è vero che nel 2013 l’Unione europea ha posto le basi per la strutturazione di un ecosistema cibernetico affidabile, aperto e sicuro”, ha commentato il legale, “la continua evoluzione e l’acuirsi delle minacce informatiche hanno richiesto nel tempo un’azione più incisiva, non solo per mitigare gli attacchi cibernetici oggi, ma anche e soprattutto per fungere da deterrente in futuro. Proprio in questo solco si è inserita, nel settembre del 2017, la nuova cyber security strategy europea, che racchiude già nel suo titolo ‘Resilienza, Deterrenza e Difesa: verso una Cibersicurezza forte per l’Ue’ i principali obiettivi di alto livello che intende perseguire”.
LA CERTIFICAZIONE
Nello specifico il Cybersecurity Act, già concordato informalmente dai governi, prevede la certificazione delle infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a processi, prodotti e servizi. Poi sarà la Commissione, entro il 2023, a valutare se questi nuovi sistemi, per ora volontari debbano essere resi obbligatori.
“L’istituzione di un quadro europeo di certificazione”, rileva Mele, “contribuirà in maniera sostanziale anche al raggiungimento dell’indirizzo operativo – previsto sempre nella cybersecurity strategy del 2017 – teso all’attuazione di quell’auspicabile dovere di diligenza del settore industriale utile ad implementare reali metodologie di “sicurezza fin dalla progettazione” di prodotti, processi e servizi. Peraltro tale quadro, oltre ad aumentare la fiducia dei consumatori sulla sicurezza di ciò che viene acquistato e utilizzato, fornirà anche palesi vantaggi alle imprese, che per operare a livello transnazionale non saranno più costrette a seguire differenti processi di certificazione, limitando così anche i costi amministrativi e finanziari”.
Tuttavia, commenta ancora l’esperto, “per il principio di sussidiarietà e fatte salve eventuali diverse disposizioni rinvenibili nelle legislazioni nazionali o dell’Unione, il decisore europeo non ha potuto far altro che rendere esclusivamente volontaria l’adesione delle aziende al futuro quadro di certificazione paneuropeo. Appare evidente, però, come lasciare spazio alla decisione dei governi nazionali sull’obbligatorietà o meno di una necessità così evidente e urgente, se da un lato fa certamente tirare un sospiro di sollievo alle aziende interessate, nei fatti, però, rischia di posticipare nel tempo un bisogno che, all’alba della massiva commercializzazione, ad esempio, dei sistemi cyber-fisici (Internet of Things), appare essere ormai non più procrastinabile”.
IL RUOLO DELL’ENISA
Nell’ambito del rafforzamento dell’Enisa, invece, quest’ultima – oltre ad avere un ruolo primario nel nuovo sistema di certificazione – potrà contare su un mandato permanente e maggiori risorse, in modo da svolgere non soltanto i compiti consueti di consulenza tecnica, bensì anche fornire supporto alla gestione operativa degli eventi cyber che riguardano i Paesi dell’Unione. “L’agenzia”, rimarca Mele, “avrà un ruolo principale nella realizzazione di questo primo quadro europeo di certificazione spetterà proprio all’Enisa, che avrà il compito di supportare la Commissione europea e l’European Cybersecurity Certification Group – l’organo composto dai rappresentanti delle Autorità nazionali di Supervisione della Certificazione di tutti gli Stati membri (per l’Italia, compito demandato al Mise attraverso il Cvcn dell’Iscti) – proprio nella predisposizione del suddetto schema di certificazione”.
Ma “il nuovo mandato dell’agenzia previsto dalla Commissione europea”, conclude il legale, “non si esaurisce di certo con questa sola attività. Il regolamento, infatti, si pone come primo obiettivo sul piano temporale quello di conferire a questa agenzia un vero e proprio mandato permanente di assistere gli Stati membri nella prevenzione degli attacchi cibernetici e nello sviluppo delle loro capacità di difesa e preparazione in questo settore, trasformando così l’Enisa appunto in una vera e propria Agenzia Europea per la Cybersecurity”.
I PROSSIMI PASSI
Il Regolamento – che dovrà ora essere approvata formalmente dal Consiglio, probabilmente nelle prossime settimane- entrerà in vigore 20 giorni dopo la sua pubblicazione e, data la sua natura giuridica, sarà immediatamente applicabile in tutti gli Stati membri, senza che ci sia bisogno di interventi attuativi da parte dei singoli legislatori nazionali.
