Cyber Security Act per un digitale europeo garantito

28/08/2019
di Lorenzo Colzi

La sicurezza Cibernetica o Cyber Security è, a buon motivo, al centro delle attenzioni delle Istituzioni Europee.

Successivamente all’entrata in vigore della Direttiva NIS e del suo conseguente recepimento interno ad opera del D.lgs. n°65 del 2018, le istituzioni Europee tornano ad occuparsi della materia della sicurezza informatica attraverso il Regolamento n°2019/881 del Parlamento Europeo e del Consiglio.

Tale regolamento, il cosiddetto Cyber Security Act, è stato pubblicato in gazzetta ufficiale il 7 giugno 2019, ed entrerà in vigore il 27 giugno 2019.

Le aree di intervento

Le due macroaree di intervento coperte dal regolamento in questione riguardano, in primis il rafforzamento del ruolo dell’ENISA (l’agenzia dell’Unione Europea per la sicurezza delle reti e delle informazioni), in secundis l’introduzione di un sistema di certificazione della sicurezza informatica di prodotti, servizi e processi TIC (tecnologie dell’informazione e della comunicazione acronimo dell’equivalente anglofono ICT).

Il regolamento definisce:

  • Prodotto TIC “un elemento o un gruppo di elementi di una rete o di un sistema informativo;
  • Servizio TIC: “un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi”;
  • Processo TIC: “un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o un servizio TIC”;
cyber security

Sebbene la costituzione di schemi di certificazione specificatamente dedicati al tema della Cyber Security non sia una nuova introduzione delle istituzioni europee esistendo già diverse di esse, l’introduzione da parte del Titolo III del Cyber Security Act di un “quadro Europeo di certificazione” si inserisce in quella operazione di armonizzazione del diritto europeo alla quale da sempre mirano gli interventi delle istituzioni (operazione ed approccio non di nuovo conio, ma sostanzialmente simile a quello tenuto nella redazione del nuovo Regolamento Europeo sulla Protezione dei dati personali e della nuova direttiva NIS).

Accountability anche nella sicurezza

Con questo intervento l’Unione introduce quindi uno schema di regole che disciplinano le varie certificazioni e i vari schemi europei di certificazione della sicurezza informatica, operando però anche questa volta in maniera molto simile a quella già utilizzata in ambito privacy con l’introduzione del principio di accountability. Non vengono infatti implementati, all’interno del regolamento, degli schemi direttamente operativi e rigidi, bensì come rubricato nell’art. 46 un “Quadro di certificazione” ed un programma di lavoro progressivo dell’Unione Europea il quale dovrà includere, altresì, un elenco di prodotti, servizi e processi TIC che possono beneficiare dell’inclusione nell’ambito di applicazione di un sistema europeo della cyber sicurezza.

Risulta chiaro come, anche in questo caso, le istituzioni Europee, sulla scorta di quanto fatto in ambito Data Protection con l’introduzione nero su bianco del principio di Privacy By Design/Privacy By Default, vogliano attraverso la “seconda parte” del Cyber Security Act, stimolare l’attenzione degli stati membri ed al loro interno tutti i player del mercato informatico e non, sul concetto di Security By Design e quindi alla presa in considerazione della sicurezza informatica fin dagli stadi della progettazione di prodotti, servizi e processi ICT.

Tali schemi di certificazione saranno predisposti in primis dalla sopramenzionata ENISA (e qui notiamo di fatto il rafforzamento del ruolo della stessa, già accennato in precedenza), e verranno poi adottati formalmente dalla Commissione Europea per il tramite di atti di esecuzione ai sensi dell’art. 291 TFUE.

Sistemi di controllo industriali, sistemi informatici, dispositivi medicali ma anche tutto il mondo dell’automazione sia dal punto di vista della logistica che del trasporto, sono solo alcuni esempi di prodotti e relativi servizi per i quali potrà essere richiesta la certificazione (che in casi di prodotti processi o servizi a basso rischio potrà consistere anche in una autocertificazione come previsto dall’art. 53 del regolamento citato) che andrà mano a mano a rimpiazzare i vari schemi già esistenti di certificazione nazionali.

E’ chiaro come le implicazioni di tale regolamento travalicano il semplice focus della sicurezza informatica tout court ma mirano ad implementare quanto già fatto dall’Unione Europea negli ultimi anni, dimostrando una sempre maggior attenzione per il tema trasversale della “digitalizzazione”.

Gli sviluppi futuri

Restano da attendere futuri sviluppi, per comprendere come la parte di Cyber Security si integrerà non solo con le disposizioni in materia di Data Protection, ma anche con quelle relative alle informazioni “industriali” andando a creare una zona di intervento multidisciplinare che potrà esser sfruttata dalle aziende per dimostrare la loro buona pratica in un’ottica di allargamento di business, ma anche e di più, dagli utilizzatori che saranno garantiti da una certificazione effettiva e armonizzata a livello di tutto il territorio dell’Unione Europea.

Riproduzione riservata ©

ALTRE NEWS

Errata conservazione delle fatture elettroniche: le conseguenze

Accade spesso, purtroppo, che le società che hanno adottato da tempo la conservazione digitale delle Fatture elettroniche si rendono conto di averne erroneamente conservate alcune…. Leggi Tutto

DRONI: la normativa per spiccare il volo – 16 giugno Roma

DRONI: la normativa per spiccare il volo. Potenzialità ed impatto sulla Privacy. Un evento Colin & Partners, in collaborazione con Assinform. Roma 16 Giugno, alle… Leggi Tutto

Web marketing, brand protection e concorrenza sleale online: altre pratiche

Su Inside Marketing la seconda parte dell’analisi di Giulia Rizza sulle pratiche scorrette che, messe in atto nell’economia e con strumenti digitali, possono danneggiare il… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.