Il significato dell’entrata in vigore del Cybersecurity Act e le conseguenze per le aziende, i professionisti, il mercato europeo e il contesto internazionale
Dal 27 giugno 2019 è entrato in vigore il Cybersecurity Act già pubblicato in Gazzetta Ufficiale il 7 giugno 2019. Il regolamento fa parte del Cybersecurity Package europeo adottato dal 13 settembre 2017, come un insieme strumenti per affrontare gli attacchi informatici.
Di qualche giorno fa anche l’insieme di disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica (decreto-legge) per “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure idonee a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi consentendo, al contempo, la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione”.
Anche il procurement è uno degli elementi di tenuta sotto controllo per la fornitura di beni e servizi ICT che siano in linea con i requisiti di sicurezza nazionale. Nella nota divulgata dal governo si legge come il testo integri e adegui il quadro normativo in materia di esercizio dei poteri speciali da parte del Governo, con particolare riferimento a quanto previsto dal decreto-legge 15 marzo 2012, n. 21, in modo da coordinare l’attuazione del Regolamento (UE) 2019/452, sul controllo degli investimenti esteri, e apprestare idonee misure di tutela di infrastrutture o tecnologie critiche ad oggi non ricadenti nel campo di applicazione del decreto-legge 15 marzo 2012, n. 21.
Parte delle misure del decreto sono in relazione al Cybersecurity Act e sono motivate dall’intento di sostenere gli Stati membri nell’affrontare le minacce e gli attacchi alla sicurezza informatica in modo sistematico, strutturato e organizzato. In particolare alla strategia per la sicurezza cibernetica dell’Europa ha fatto seguito la Direttiva NIS, ma anche il GDPR (General Data Protection Regulation), che si occupa di data protection, è annoverato fra gli strumenti normativi dedicati alla protezione del mondo digitale. Fra questi il Cybersecurity Act costituisce l’ultimo atto.
Il regolamento
Le modifiche apportate da questo nuovo regolamento UE sono duplici: una riforma globale dell’ENISA e la creazione di un quadro di certificazione di prodotti e servizi di sicurezza informatica. In particolare, l’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione) rispetto al mandato iniziale aveva l’esigenza di un mandato permanente, insieme a maggiori risorse finanziarie e umane. L’ENISA quindi potrà fornire sostegno agli Stati membri, alle istituzioni e alle imprese dell’UE per l’attuazione della direttiva NIS. Il nuovo ENISA sarà inoltre autorizzato a contribuire a rafforzare sia la cooperazione operativa sia la gestione delle crisi in tutta l’UE.
Sul fronte del sistema certificativo invece, la proposta della Commissione è stata quella di istituire un quadro di attestazione UE per contrastare la mancanza di un sistema di certificazione della sicurezza informatica riconosciuto in tutta l’area Europea, elemento che fino ad oggi ha limitato la crescita del mercato della sicurezza informatica se non abbia addirittura costituito un freno. Non è prevista l’introduzione di specifici schemi direttamente operativi, ma solo la emissione di direttive per ritenere validi e riconosciuti in tutti gli Stati membri, gli schemi certificativi che già esistono in alcuni paesi, istituendo quindi una piattaforma comune per il riconoscimento delle attestazioni dei prodotti e servizi digitali.
Gli obiettivi del regolamento
Il regolamento punta a rafforzare la resilienza dell’Unione agli attacchi informatici, creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Infatti, la Legge tiene conto degli attuali standard internazionali di sicurezza informatica (es. ISO 27001, NIST 800-53, PCI-DSS, CSA Cloud Control Matrix) per supportare lo sviluppo di un quadro armonizzato basilare all’interoperabilità. Fra i compiti dell’ENISA anche quello di predisporre i suddetti schemi di certificazione.
Effetti e conseguenze
Per le aziende le implicazioni di mercato sono importanti perché possono presentare una dichiarazione di conformità di autocertificazione per il riconoscimento dei loro prodotti in tutti gli Stati membri dell’UE sulla base della/e certificazioni nazionali possedute e vedersi riconoscere uno dei tre livelli di affidabilità (base, sostanziale o elevato n.d.r.) che corrisponde alla loro capacità di resistere agli attacchi di sicurezza informatica acquisendo un criterio di garanzia, in ambito security, maggiore rispetto ad altri competitor.
Uno degli effetti positivi del sistema certificativo risiede anche nella conseguente maggiore sicurezza informatica e cyber-resilienza di tutta la catena di approvvigionamento a livello Europeo.
Per il settore legale i professionisti che assistono le imprese dovranno incrementare lo studio e la ricerca, sia per l’analisi congiunta dei diversi corpi normativi, ma anche per gli sviluppi evolutivi del diritto, in un’ottica maggiormente europea e non più solo strettamente nazionale (Gianluca De Cristofaro, Lca Studio Legale).
Il significato a livello geopolitico lo spiega Samuele Dominioni dell’Istituto per gli Studi di Politica Internazionale (ISPI), che sostiene come il Cybersecurity Act sia un grande risultato per l’UE a livello interno ed esterno, perché è basato sugli interessi condivisi degli Stati membri e sui compromessi mediati, per una postura cyber unificata che potrebbe proteggere e migliorare la sicurezza dei cittadini dell’UE nel cyberspazio circostante.
In particolare, a livello interno ogni stato membro resta ancora responsabile per la gestione della propria sicurezza nazionale e quindi l’adozione delle politiche di cybersicurezza deve essere graduale e andare di pari passo con le aree di competenza dell’UE ossia il mercato unico e la sicurezza interna. Sul fronte esterno invece, oltre ad un ovvio effetto di deterrenza per negazione (quando gli obiettivi di attacco sono negati, ovvero si rende difficile raggiungere i target n.d.r.), la UE può adottare barriere non tariffarie, ma di valutazione sui requisiti essenziali di sicurezza cyber per accedere al mercato interno da parte di attori extra UE. La disposizione può essere attuata fino a cinque anni dopo l’entrata in vigore della legge. Infine, il Cybersecurity Act stabilisce una terza via, contraria al modello di tecnologia liberale statunitense e al modello di sovranità digitale cinese e russo (di cui il modello del GDPR è un esempio), che potrebbe rafforzare la posizione della UE in materia di “potere normativo” internazionale nel cyberspazio.
Approfondimenti
Evento CSQA : il primo svolto il 20 Settembre a Roma e il secondo del 17 Ottobre a Milano
A livello internazionale è prevista a Bruxelles il 18 e 19 Novembre la “International Conference on the EU Cybersecurity Act 2019” che si propone di aiutare la comunità che lavora alle norme di standardizzazione, per prepararsi all’evoluzione di quadri basati sul rischio, volti a contrastare la frammentazione del mercato nell’UE.
