Cyber Security Act per un digitale europeo garantito

La sicurezza Cibernetica o Cyber Security è, a buon motivo, al centro delle attenzioni delle Istituzioni Europee.

Successivamente all’entrata in vigore della Direttiva NIS e del suo conseguente recepimento interno ad opera del D.lgs. n°65 del 2018, le istituzioni Europee tornano ad occuparsi della materia della sicurezza informatica attraverso il Regolamento n°2019/881 del Parlamento Europeo e del Consiglio.

Tale regolamento, il cosiddetto Cyber Security Act, è stato pubblicato in gazzetta ufficiale il 7 giugno 2019, ed entrerà in vigore il 27 giugno 2019.

Le aree di intervento

Le due macroaree di intervento coperte dal regolamento in questione riguardano, in primis il rafforzamento del ruolo dell’ENISA (l’agenzia dell’Unione Europea per la sicurezza delle reti e delle informazioni), in secundis l’introduzione di un sistema di certificazione della sicurezza informatica di prodotti, servizi e processi TIC (tecnologie dell’informazione e della comunicazione acronimo dell’equivalente anglofono ICT).

Il regolamento definisce:

• Prodotto TIC “un elemento o un gruppo di elementi di una rete o di un sistema informativo;
• Servizio TIC: “un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi”;
• Processo TIC: “un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o un servizio TIC”;

Sebbene la costituzione di schemi di certificazione specificatamente dedicati al tema della Cyber Security non sia una nuova introduzione delle istituzioni europee esistendo già diverse di esse, l’introduzione da parte del Titolo III del Cyber Security Act di un “quadro Europeo di certificazione” si inserisce in quella operazione di armonizzazione del diritto europeo alla quale da sempre mirano gli interventi delle istituzioni (operazione ed approccio non di nuovo conio, ma sostanzialmente simile a quello tenuto nella redazione del nuovo Regolamento Europeo sulla Protezione dei dati personali e della nuova direttiva NIS).

Accountability anche nella sicurezza

Con questo intervento l’Unione introduce quindi uno schema di regole che disciplinano le varie certificazioni e i vari schemi europei di certificazione della sicurezza informatica, operando però anche questa volta in maniera molto simile a quella già utilizzata in ambito privacy con l’introduzione del principio di accountability. Non vengono infatti implementati, all’interno del regolamento, degli schemi direttamente operativi e rigidi, bensì come rubricato nell’art. 46 un “Quadro di certificazione” ed un programma di lavoro progressivo dell’Unione Europea il quale dovrà includere, altresì, un elenco di prodotti, servizi e processi TIC che possono beneficiare dell’inclusione nell’ambito di applicazione di un sistema europeo della cyber sicurezza.

Risulta chiaro come, anche in questo caso, le istituzioni Europee, sulla scorta di quanto fatto in ambito Data Protection con l’introduzione nero su bianco del principio di Privacy By Design/Privacy By Default, vogliano attraverso la “seconda parte” del Cyber Security Act, stimolare l’attenzione degli stati membri ed al loro interno tutti i player del mercato informatico e non, sul concetto di Security By Design e quindi alla presa in considerazione della sicurezza informatica fin dagli stadi della progettazione di prodotti, servizi e processi ICT.

Tali schemi di certificazione saranno predisposti in primis dalla sopramenzionata ENISA (e qui notiamo di fatto il rafforzamento del ruolo della stessa, già accennato in precedenza), e verranno poi adottati formalmente dalla Commissione Europea per il tramite di atti di esecuzione ai sensi dell’art. 291 TFUE.

Sistemi di controllo industriali, sistemi informatici, dispositivi medicali ma anche tutto il mondo dell’automazione sia dal punto di vista della logistica che del trasporto, sono solo alcuni esempi di prodotti e relativi servizi per i quali potrà essere richiesta la certificazione (che in casi di prodotti processi o servizi a basso rischio potrà consistere anche in una autocertificazione come previsto dall’art. 53 del regolamento citato) che andrà mano a mano a rimpiazzare i vari schemi già esistenti di certificazione nazionali.

E’ chiaro come le implicazioni di tale regolamento travalicano il semplice focus della sicurezza informatica tout court ma mirano ad implementare quanto già fatto dall’Unione Europea negli ultimi anni, dimostrando una sempre maggior attenzione per il tema trasversale della “digitalizzazione”.

Gli sviluppi futuri

Restano da attendere futuri sviluppi, per comprendere come la parte di Cyber Security si integrerà non solo con le disposizioni in materia di Data Protection, ma anche con quelle relative alle informazioni “industriali” andando a creare una zona di intervento multidisciplinare che potrà esser sfruttata dalle aziende per dimostrare la loro buona pratica in un’ottica di allargamento di business, ma anche e di più, dagli utilizzatori che saranno garantiti da una certificazione effettiva e armonizzata a livello di tutto il territorio dell’Unione Europea.