La Commissione europea ha recentemente pubblicato i primi progetti ai quali è stato assegnato il…
Cybersecurity Act, in vigore il regolamento europeo sulla sicurezza informatica
(Via Il Sole 24 ORE)
Lo scorso 7 giugno la pubblicazione sulla Gazzetta Ufficiale. Venti giorni dopo, l’entrata in vigore. Il 27 giugno è stato il giorno del Cybersecurity Act, nuovo strumento normativo europeo che mira a una sicurezza informatica più coesa e comunitaria. Si tratta di un Regolamento che ha lo scopo di creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.
L’impegno dell’esecutivo Ue è presentare «un modello europeo forte per la sicurezza informatica, in linea con i valori democratici Ue, a salvaguardia degli interessi dei cittadini e delle imprese europee», ha detto la commissaria Ue al Digitale, Mariya Gabriel. Inoltre, l’intenzione è quella di rendere più solido il ruolo dell’ ENISA, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione.
È un passo importante, per l’Unione. Affrontare il capitolo della sicurezza informatica (dunque gli attacchi, e tutto quello che vi ruota attorno) in modo unitario, è una chiara strategia di rafforzamento. Un pezzo importante del puzzle pensato già nel 2017, con la prima normativa comunitaria sulla sicurezza informatica, la direttiva NIS, e proseguita con il regolamento europeo sul trattamento dei dati personali, il famoso GDPR.
Attraverso un mercato unico della cybersecurity in fatto di prodotti, processi e servizi, l’Europa vuole dare un segnale forte di coesione, così da imprimere maggior fiducia nei consumatori che guardano al mercato digitale. Giova ricordare che secondo gli ultimi dati Ue disponibili, il mercato europeo della sicurezza informatica vale 130 miliardi di euro e registra una crescita annua del 17%.
Com’è fatto il il Cybersecurity Act
Questo nuovo strumento normativo è composto da due parti. La prima specifica quello che è il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione. L’Enisa, istituita nel 2004, in questi anni ha fatto un po’ da guardiano senza un vero ruolo operativo. L’agenzia, infatti, ha dato assistenza agli stati membri nella fase di elaborazione delle strategie sulla cybersecurity.
Ma la gestione degli attacchi è sempre rimasta in mano al singolo Paese. Con il Cybersecurity Act, invece, il ruolo di Enisa diventa molto più operativo, entrando concretamente nella gestione di un cyberattacco. Inoltre, avrà compiti ben specifici in chiave di certificazione di servizi, processi e prodotti.
Certificazione che è il pilastro portante della seconda parte del Cybersecurity Act. Ad oggi, la maggior parte delle certificazioni sulla cyber sicurezza esistenti nei vari stati membri, hanno valenza nazionale. Non vengono riconosciuti all’estero, insomma. Col muovo regolamento europeo, invece, si tende ad unificare i processi. Non tanto imponendo un certificato unico, quanto dettando le linee guida che rendano le certificazioni omogenee e riconosciute a livello comunitario.
Cosa succederà in concreto
Concretamente, quello che succederà adesso sarà un po’ questo: l’agenzia Enisa predisporrà nuovi schemi europei di certificazione conformi al Cybersecurity Act. Questi schemi saranno successivamente adottati dalla Commissione UE, e diventeranno esecutivi e disponibili alle aziende europee. Chiaramente questi schemi andranno a sostituire i regolamenti nazionali. Ma per i prodotti certificati a livello nazionale, la validità rimarrà invariata fino alla loro scadenza.
Fonte: Il Sole 24 ORE