Dopo un lunghissimo iter approvativo, iniziato con la presentazione da parte della Commissione nel settembre 2017, è finalmente stato pubblicato ieri sulla Gazzetta ufficiale dell’Unione europea il testo definitivo del cosiddetto Cybersecurity Act. Questo importante atto normativo, ora formalmente identificato come Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019, entrerà dunque ufficialmente in vigore il prossimo 27 giugno e, essendo un Regolamento e non una Direttiva, avrà effetto immediato in tutti gli Stati membri senza necessità di alcun atto legislativo nazionale di recepimento.
Come noto, il Cybersecurity Act era stato proposto dalla Commissione guidata dal Presidente Juncker per rafforzare il livello di sicurezza cibernetica europea introducendo due importanti fattori: da un lato una vera e propria, se non “nuova”, Agenzia per la cybersecurity dell’Unione dotata di ampio mandato ed adeguate risorse; e dall’altro un meccanismo comune di certificazione della sicurezza dei prodotti o servizi ICT finalizzato ad aumentare la fiducia dei consumatori nella rispondenza dei dispositivi di largo consumo a requisiti standard di sicurezza informatica e protezione dei dati.
Il primo punto è stato ottenuto rifondando ENISA, la preesistente Agenzia per la sicurezza delle reti e dell’informazione. In particolare alla “nuova” Agenzia, che proseguirà comunque in continuità con la precedente, sono stati conferiti un mandato permanente, dei compiti più ampi, delle responsabilità maggiori, nonché risorse adeguate agli impegni che dovrà assolvere.
Il secondo punto prevede la creazione di un innovativo schema pan-europeo di certificazione della sicurezza dei prodotti e servizi informatici, che possa fungere da guida nell’orientare le scelte dei consumatori. Tale certificazione sarà meno oneroso da ottenere rispetto a quelli attuali, che essendo di derivazione militare prevedono test estensivi ed approfonditi con conseguenti ingenti impegni in termini sia di tempo che di costi, e soprattutto sarà immediatamente valida in tutti gli Stati membri, in modo da invogliare i costruttori a certificare i propri prodotti. Lo schema prevede inoltre tre livelli di certificazione, caratterizzati da livelli di affidabilità commisurati al livello di rischio associato al prodotto o servizio, denominati rispettivamente: “di base”, “sostanziale” ed “elevato”. L’onere di sviluppare lo schema di certificazione è stato assegnato ad ENISA, mentre tutti gli Stati membri dovranno curare la costituzione di Centri nazionali di valutazione che, sotto la sorveglianza dell’esistente circuito di Enti di accreditamento (per l’Italia, Accredia) potranno svolgere le opportune verifiche tecniche e rilasciare gli attestati di conformità.
