Cyber Security Act: breve analisi e principali novità

Il 27 giugno 2019 è entrato in vigore il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019.

Il Regolamento in questione, denominato anche “Cyber Security Act”, si inserisce all’interno di un quadro di misure volte a rafforzare la sicurezza informatica all’interno dello spazio europeo.

Tale intervento normativo si pone come una necessaria risposta all’aumento degli attacchi informatici su vasta scala di carattere transfrontaliero e della “la maggiore vulnerabilità alle minacce e agli attacchi informatici da parte di una economia ed una società connesse.”

Il quadro attuale impone, infatti, un rafforzamento delle difese in materia, ma soprattutto una strategia comune agli Stati dell’Unione, considerato che le competenze in materia di cybersicurezza e autorità incaricate dell’applicazione della legge e le relative risposte politiche sono, ad oggi, prevalentemente nazionali.

Obiettivi: rafforzamento del ruolo dell’ENISA ed introduzione di un sistema europeo per la certificazione della sicurezza informatica dei prodotti, servizi e processi digitali.

Il Regolamento conferisce all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza (European Union Agency for Network and Information Security — ENISA), istituita nel 2004 con mandato inizialmente temporaneo prorogato in più occasioni, un mandato permanente e maggiori risorse.

Considerato che l’ENISA “dovrebbe fungere da punto di riferimento per pareri e competenze sulle iniziative politiche e legislative settoriali dell’Unione che presentano aspetti correlati alla cybersicurezza” (cfr. considerando 22 del Regolamento), il Cyber Security Act le attribuisce un ruolo primario nel supporto della gestione degli incidenti informatici da parte degli Stati membri nonché una serie di competenze indicate agli artt. 3-7 del Regolamento, che vanno a ad aggiungersi ai compiti di consulenza tecnica fino ad ora svolti dall’Agenzia.

In particolare, tra i numerosi compiti ed obiettivi attualmente attribuiti all’ENISA, vi è quello di:

  • assistere le istituzioni dell’Unione e gli Stati membri “nell’elaborazione e nell’attuazione di politiche relative alla cybersicurezza” (art. 4.2. Reg.)
  • “assistere gli Stati membri nell’impegno a migliorare la prevenzione, la rilevazione e l’analisi delle minacce informatiche e degli incidenti, come pure la capacità di reazione agli stessi, fornendo loro le conoscenze e le competenze necessarie”; (art. 6.1 a) Reg )
  • “assistere gli Stati membri nello sviluppo di strategie nazionali in materia di sicurezza delle reti e dei sistemi informativi (art. 6.1. e) Reg.)
  • promuove un elevato livello di consapevolezza in materia di cybersicurezza, incluse l’igiene informatica (ossia quelle “misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche”) e l’alfabetizzazione informatica, tra cittadini, organizzazioni e imprese (art. 4.7 Reg.)

Viene inoltre affidata all’ENISA la promozione dell’uso della certificazione europea della cybersicurezza, proprio con l’obiettivo di evitare la frammentazione del mercato interno. (Art. 4.6 Reg.).

Il Titolo terzo del Cyber Security Act, agli articoli 46 e ss., introduce inoltre un quadro europeo per la certificazione della sicurezza informatica di prodotti, servizi e processi digitali uniforme a tutti gli Stati membri. Tali schemi saranno adottati dalla Commissione con dei regolamenti di esecuzione su proposta dell’ENISA.

L’obiettivo del Regolamento è quello di consentire il riconoscimento dei vari sistemi di certificazione dei prodotti, servizi e processi ICT (quali ad esempio, i dispositivi medici o i veicoli automatizzati) già esistenti nella maggioranza degli Stati membri. I certificati rilasciati secondo tali schemi saranno infatti validi e riconosciuti in tutti gli Stati membri.  Ciò per facilitarne la circolazione all’interno dello spazio europeo e la creazione di un mercato unico digitale, con l’obiettivo più generale di accrescere la fiducia dei cittadini europei nell’economia digitale.

La certificazione della cybersicurezza riveste infatti un ruolo determinante nel rafforzare la sicurezza dei prodotti ICT e nell’accrescere la fiducia negli stessi.

“Il mercato unico digitale, in particolare l’economia dei dati e l’Internet degli oggetti, possono infatti prosperare solo se i cittadini sono convinti che tali prodotti, servizi e processi offrono un determinato livello di cybersicurezza.”