Regolamento 2019/881 - Cybersecurity Act

Il 7 giugno 2019, con entrata in vigore il 27 giugno 2019, è stato pubblicato sulla Gazzetta Ufficale dell’unione Europea il Regolamento (UE) 2019/881, il cosiddetto Cybersecurity Act.

Il regolamento nasce con un duplice obiettivo: da un lato crea un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, dall’altro rafforza il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA).

Che cos’è il Cybersecurity Act?

Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali.

Trattandosi di un Regolamento, una volta entrato in vigore, il Cybersecurity Act sarà immediatamente applicabile in tutti gli Stati membri senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Come cambia il ruolo dell’ENISA?

Un primo punto chiave del Cybersecurity Act riguarda il rafforzamento del ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). L’Agenzia è stata istituita nel 2004 – con mandato temporalmente limitato – per contribuire all’obiettivo generale di garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’ambito dell’Ue.

Il Cybersecurity Act intende rafforzare il ruolo dell’ENISA garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. In questo modo l’ENISA potrà fornire un sostegno più concreto, anche rispetto all’attuazione della Direttiva NIS. All’ENISA spetterà inoltre un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.

Certificazione della sicurezza informatica di prodotti e servizi digitali

Un altro punto chiave del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare lo scambio degli stessi all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei medesimi.

La costituzione di schemi di certificazione specifici per prodotti e sistemi ICT non è di per sé una novità. Infatti, numerosi schemi di questo tipo già esistono nella maggior parte degli Stati membri. Ad esempio, in Italia, l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (Iscom, operante presso il Ministero dello Sviluppo Economico) già certifica la sicurezza informatica di prodotti e sistemi ICT secondo lo schema nazionale per la valutazione e la certificazione della sicurezza nel settore della tecnologia dell’informazione. Analoghi schemi di certificazione esistono anche in altri Stati membri.

Tuttavia, molti degli schemi di certificazione esistenti non vengono riconosciuti all’estero, o almeno non in tutti gli Stati membri. Ciò obbliga le imprese ad espletare vari processi di certificazione per operare a livello transnazionale.

Un “quadro europeo” per certificazioni valide in tutta la Ue

Il Cybersecurity Act intende ovviare ai problemi di cui sopra introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica. È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione, da predisporsi per specifiche categorie di prodotti e servizi, comporterà che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in tutti gli Stati membri.

Gli schemi europei di certificazione previsti dal Cybersecurity Act saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione. I dispositivi medici, i sistemi di controllo industriali e i veicoli automatizzati sono solo alcuni esempi dei prodotti per i quali è probabile che verrà reso disponibile uno schema europeo di certificazione.

Una volta adottato uno schema europeo di certificazione da parte della Commissione, le aziende interessate potranno presentare domanda di certificazione dei propri prodotti o servizi a specifici organismi accreditati, salvo che lo schema di certificazione in questione non consenta alle aziende di procedere ad una autovalutazione di conformità (solo per prodotti e servizi a basso rischio). L’utilizzo della certificazione rimarrà però volontario, a meno che la certificazione venga espressamente richiesta per determinate categorie di prodotti o servizi da specifiche norme di settore.

Gli schemi europei di certificazione andranno gradualmente a rimpiazzare gli omologhi schemi di certificazione nazionali, ma i certificati rilasciati sulla base di questi ultimi rimarranno validi siano alla loro scadenza naturale.

Nelle intenzioni del legislatore europeo, l’istituzione di un sistema comune di certificazione di questo tipo dovrebbe favorire la cosiddetta “security by design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti ICT, inclusi quei dispositivi di consumo connessi alla rete che costituiscono il cosiddetto “internet delle cose” o “IoT”.

Di interesse i vari articoli 51,52,53 del Regolamento che trattano dei tre possibili livelli di certificazione della cibersicurezza: livello base, sostanziale o elevato. Il livello di affidabilità è commisurato al livello del rischio associato al previsto uso del prodotto TIC, servizio TIC o processo TIC, in termini di probabilità e impatto di un incidente.

I certificati europei di cibersicurezzae le dichiarazioni UE di conformità si riferiscono a qualsiasi livello di affidabilità specificato nel sistema europeo di certificazione della cibersicurezzanell’ambito del quale si rilascia il certificato europeo di cibersicurezzao la dichiarazione UE di conformità.

Un sistema europeo di certificazione della cibersicurezzapuò consentire un’autovalutazione della conformità sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC. Tale autovalutazione della conformità è consentita unicamente in relazione ai prodotti TIC, servizi TIC e processi TIC che presentano un basso rischio corrispondenti al livello di affidabilità «di base».

Come afferma inoltre l’art 56 ad oggi la certificazione cibersicurezzaè volontaria, però La Commissione si riserva di valutare periodicamente l’efficacia e l’utilizzo dei sistemi europei di certificazione della cibersicurezzaadottati e l’eventuale necessità di rendere obbligatorio uno specifico sistema europeo di certificazione della cibersicurezzaper mezzo di disposizioni normative dell’Unione pertinenti al fine di garantire l’opportuno livello di cibersicurezzadei prodotti TIC, servizi TIC e processi TIC nell’Unione e migliorare il funzionamento del mercato interno. La prima valutazione in tal senso sarà effettuata entro il 31 dicembre 2023 e le successive valutazioni saranno effettuate almeno ogni due anni.