Introduzione al nuovo regolamento europeo sulla “sicurezza cibernetica”. Entro il 2023 la Commissione valuterà se le norme dovranno essere applicate obbligatoriamente.

Premessa

La Cybersecurity è un tema di rilevante attualità soprattutto nel panorama politico-economico attuale, caratterizzato dal forte impatto delle nuove tecnologie nei processi aziendali, nella nostra società e nel nostro modo di vivere.

In tale contesto l’attività di prevenzione, rilevazione e gestione degli attacchi che provengono dal Cyberspazio diventa un’esigenza irrinunciabile. La Cybersecurity (o “sicurezza cibernetica”) è una disciplina in continua evoluzione che ha l’obiettivo di fornire la migliore protezione dei sistemi informatici di fronte a minacce sempre nuove ogni giorno più preoccupanti. In questo senso, Le nuove normative comunitarie rappresentano, per le aziende (pubbliche e private) e per i governi, uno strumento d’importanza fondamentale per affrontare gli attacchi informatici.

L’evoluzione del panorama normativo comunitario

A poco più di tre anni dall’entrata in vigore del Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali (di seguito, “GDPR”) e a poco meno di due anni dalla pubblicazione del Decreto Legislativo n. 65/2018 sulla sicurezza delle reti e dei sistemi informativi (di seguito, “NIS”), l’Unione Europea non accenna a rallentare la produzione di norme in materia di sicurezza dei prodotti e dei servizi “ICT” finalizzate a fornire ai Paesi Membri gli strumenti necessari per aiutarli ad affrontare i rischi connessi alla sempre più rapida e pervasiva evoluzione tecnologica. La più rilevante di queste norme è il Regolamento Europeo n. 881/2019 relativo alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione (di seguito, “Cybersecurity Act”), pubblicato in Gazzetta Ufficiale il 7 Giugno 2019 ed entrato ufficialmente in vigore il 27 Giugno 2019.

Trattandosi di un Regolamento di matrice comunitaria, il Cybersecurity Act è immediatamente applicabile in tutti i Paesi Membri, senza necessità di ulteriori interventi legislativi a livello nazionale.

Cos’è il Cybersecurity Act?

Il Cybersecurity Act, sviluppato in coerenza con i principali Standard Internazionali in materia di sicurezza delle informazioni e protezione dei dati personali, è uno degli elementi cardine della nuova strategia dell’Unione Europea in materia di “sicurezza cibernetica”. Questo Regolamento nasce con l’obiettivo di:

  • Definire un Framework normativo armonizzato ed applicabile a tutti i Paesi Membri, volto a tutelare i consumatori e le aziende, in un contesto in cui il livello di sicurezza dei prodotti e dei servizi “ICT” è spesso inferiore rispetto al livello di sofisticazione raggiunto dalla criminalità informatica;
  • Stimolare la fiducia nell’economia digitale, fornendo alle aziende e ai consumatori informazioni chiare circa il “livello di affidabilità” dei prodotti e dei servizi “ICT”.
  • Contrastare il fenomeno del Cybercrime, in grado di rallentare la crescita delle aziende e generare sfiducia nei consumatori, attraverso opportune misure di sicurezza;
  • Rafforzare la “resilienza” dei Paesi Membri, ovvero la resistenza degli stessi alle principali minacce informatiche (es. attacchi hacker, malware, virus, ecc.);

Secondo l’impostazione del Cybersecurity Act, questi obiettivi possono essere raggiunti attraverso una revisione del ruolo dell’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni (di seguito, “ENISA”) ed una nuova, più puntuale disciplina di mercato incentrata sulla certificazione dei prodotti e dei servizi “ICT”.

Il ruolo di ENISA

Come accennato in precedenza, il primo degli elementi di novità introdotti dal Cybersecurity Act è il rafforzamento del ruolo di “ENISA”, Agenzia istituita nel 2004 con la missione di contribuire a migliorare la sicurezza dei prodotti e dei servizi “ICT, sviluppare una cultura incentrata sulla sicurezza delle informazioni e delle reti a beneficio dei consumatori  e di conseguenza, favorire lo sviluppo del mercato interno dell’Unione Europea.

In seguito all’introduzione del Cybersecurity Act, il ruolo di “ENISA” cambia in maniera sostanziale: oltre a ricevere un mandato permanente e maggiori risorse, l’Agenzia assume un ruolo di primo piano nello sviluppo e nell’attuazione delle politiche comunitarie, nella promozione della cooperazione tra i Paesi Membri, nell’informazione, formazione e sensibilizzazione, nella ricerca e nell’innovazione nell’ambito della sicurezza “ICT”. Il ruolo di ENISA varia anche sotto il profilo operativo: tra i nuovi compiti dell’Agenzia vi è infatti quello di fornire ai Paesi Membri consulenza e supporto alla gestione degli attacchi informatici, in cooperazione con i restanti membri dell’Unione Europea.

Oltre a fornire un sostegno concreto e puntuale ai singoli Paesi Membri, ad ENISA spetta un ruolo chiave nella definizione degli schemi per la certificazione di prodotti e servizi “ICT” introdotti dal Cybersecurity Act.

La certificazione dei prodotti e dei servizi “ICT”

L’istituzione di un sistema condiviso per la certificazione della sicurezza dei prodotti e dei servizi “ICT” è il secondo (e più importante) elemento di novità introdotto dal nuovo Regolamento in materia di Cybersecurity.

L’esigenza di una revisione della materia deriva dal fatto che molti degli schemi di certificazione attualmente esistenti non sono riconosciuti da tutti i Paesi Membri (e tantomeno dai Paesi non appartenenti all’Unione Europea): ciò obbliga le aziende ad intraprendere diversi processi per l’ottenimento di differenti dichiarazioni di conformità, sostenendo costi significativi per poter offrire i propri prodotti/servizi “ICT” sui mercati transnazionali.

In questo senso, l’assenza di regole di certificazione condivise a livello comunitario ha limitato la crescita dell’economia digitale, con particolare riferimento al mercato della sicurezza informatica.

Attraverso il Cybersecurity Act, l’Unione Europea mira a facilitare lo scambio di prodotti e servizi “ICT” e al contempo a rafforzare la sicurezza dell’intera catena di approvvigionamento, attraverso l’istituzione di un quadro di regole comuni a tutti i Pasi Membri in grado di disciplinare gli schemi di certificazione su tutto il territorio dell’Unione Europea.

A questo proposito è bene specificare che il Cybersecurity Act non istituisce Framework direttamente operativi: questi ultimi, in fase di elaborazione da parte di ENISA per specifiche categorie di prodotti e servizi “ICT”, saranno adottati formalmente dalla Commissione Europea e di conseguenza, resi validi e riconosciuti in tutti i Paesi Membri.

Gli schemi di certificazione così adottati sostituiranno progressivamente quelli nazionali, anche se le dichiarazioni di conformità rilasciate alle aziende non perderanno la loro efficacia e rimarranno validi sino alla loro scadenza naturale.

In seguito all’approvazione di un Framework da parte di ENISA, le aziende potranno richiedere a specifici Enti di Valutazione la certificazione dei propri prodotti o dei propri servizi “ICT”.

Implicazioni organizzazione e di mercato

Le implicazioni del Cybersecurity Act, per tutte le realtà di Business che offrono prodotti o servizi “ICT” sono estremamente rilevanti, sotto diversi punti di vista. L’ottenimento di una certificazione rappresenta, infatti, un “plus” d’importanza strategica che consente all’azienda di:

  • Operare a livello transnazionale ed estendere la propria offerta a tutti i Paesi Membri dell’Unione Europea;
  • Ottenere un riconoscimento della sicurezza dei prodotti e dei servizi “ICT” offerti.

La certificazione dei prodotti e dei servizi “ICT” secondo i canoni del Cybersecurity Act prevede infatti di assegnare a questi ultimi un vero e proprio “livello di affidabilità” (di base, sostanziale o elevato) commisurato ai rischi connessi all’uso degli stessi ed indicatore della capacità di resistere ad eventuali attacchi di natura informatica.

L’acquisizione di una dichiarazione di conformità rappresenta, inoltre, un vero e proprio vantaggio competitivo, in un contesto sociale, politico ed economico sempre più sensibile alla sicurezza delle informazioni, dei dati personali e alla mitigazione dei rischi introdotti dalla sempre più rapida evoluzione delle tecnologie “ICT”.

Oltre al miglioramento della reputazione dell’azienda e della percezione della stessa da parte dei propri Stakeholders (es. Clienti, Fornitori, Partner, Pubblica Amministrazione, ecc.), affrontare in modo serio e sistematico un processo di certificazione consente di ottimizzare i processi operativi interni, sistematizzare le misure di sicurezza adottate e coinvolgere il Management nelle principali tematiche di sicurezza delle informazioni e protezione dei dati personali.

Come anticipare il cambiamento

Esattamente come il “GDPR”, che ha introdotto nelle norme in materia di protezione dei dati personali il concetto di “Privacy by Design”, anche il Cybersecurity Act disegna un modello basato sul principio di “Security by Design”, mettendo la sicurezza cibernetica al centro del processo di sviluppo di prodotti e servizi “ICT”.

In quest’ottica, anche i Framework di certificazione elaborati da ENISA dovranno assicurare che prodotti, servizi e processi informatici rispettino una serie di requisiti di sicurezza, puntualmente elencati all’interno dell’Art. 51 del Cybersecurity Act e riassunti di seguito:

  • Protezione delle informazioni, dei dati personali e dei servizi “ICT” da accessi, trattamenti o modifiche non autorizzate, cancellazioni, perdite o mancanza di disponibilità;
  • Registrazione delle informazioni, dei dati personali o dei servizi acceduti, identificando quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
  • Verifica che i prodotti (hardware e software) e i servizi “ICT” possano essere mantenuti aggiornati, anche in maniera automatizzata e non contengano vulnerabilità note;
  • Ripristino della disponibilità e dell’accesso alle informazioni, ai dati personali e ai servizi “ICT” in modo tempestivo in caso di incidenti, di natura fisica o informatica, in grado di comprometterne la continuità.

Se si considera che ciascuno di questi elementi è già ampiamente trattato da specifici Standard Internazionali (es. ISO 27001 per la sicurezza delle informazioni, ISO 27701 per la  protezione dei dati personali, ISO 22301 per la continuità dei processi operativi, ISO 20000 per la qualità dei servizi “ICT”, ecc.), allora l’adeguamento rispetto a queste Best Practices rappresenta il primo passo che ciascuna azienda dovrebbe compiere per non arrivare impreparata al momento della certificazione secondo la prassi del Cybersecurity Act.

Un possibile percorso di adeguamento

L’adeguamento da parte delle aziende al Cybersecurity Act richiede quindi l’applicazione delle norme basilari in tema di sicurezza delle informazioni (ISO 27001), protezione dei dati personali (ISO 27701) e continuità dei processi di Business (ISO 22301), al fine di intraprendere un percorso finalizzato all’ottenimento della certificazione, nel momento in cui i relativi Framework saranno definiti (da parte di ENISA) e recepiti dai diversi Enti di Valutazione.

Il percorso suggerito per l’adeguamento al nuovo Regolamento prevede l’adozione di un approccio incentrato su:

  • Svolgimento di Risk Assessment integrati, che coniugano gli aspetti di tutela delle informazioni e dei dati personali con le esigenze di continuità e sicurezza dei servizi “ICT”;
  • Adeguamento della struttura organizzativa e dei processi operativi interni rispetto alle Best Practices contenute nei principali Standard Internazionali in materia.