Dopo il GDPR e la direttiva NIS, la cyber-strategy dell’Unione Europea si arricchisce di un nuovo strumento normativo, il Cybersecurity Act. Un regolamento (la cui entrata in vigore avverrà tra poche settimane) che ha il merito di mettere nero su bianco alcuni principi fondamentali, come quello della cosiddetta security by design, ma lascia, almeno in una prima fase, ampio spazio agli Stati nella sua effettiva applicazione in virtù del principio di sussidiarietà (non ha cogenza laddove esistano già disposizioni nazionali sulla materia).
Indice degli argomenti
Gli obiettivi
Il nuovo dispositivo normativo approvato nei giorni scorsi, con un’accelerazione sulla quale, probabilmente, ha inciso anche lo scenario geopolitico che vede contrapposti USA e Cina proprio sul tema della sicurezza, introduce due innovazioni fondamentali: da un lato l’irrobustimento del ruolo dell’Enisa (European Union Agency for Network and Information Security), alla quale viene ora conferito un mandato permanente (in sostituzione dell’attuale mandato limitato che sarebbe scaduto nel 2020) e che riceverà più risorse finanziarie e umane; dall’altro la creazione di un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi alla Rete e di altri prodotti e servizi digitali. La norma prevede uno standard europeo per le certificazioni relative alle apparecchiature informatiche; inizialmente le certificazioni saranno volontarie, ma la Commissione valuterà come e in che misura rendere obbligatorio questo requisito a partire dal 2023. Inoltre sarà intensificata la cooperazione sulla sicurezza informatica fra gli Stati membri.
“Sono due i problemi che vogliamo affrontare nello specifico”, ha commentato l’eurodeputata tedesca responsabile dell’Atto, Angelika Niebler. “Il primo riguarda l’aumento del numero di attacchi alle nostre infrastrutture critiche, che coinvolgono gli ambiti della nostra vita quotidiana – come l’elettricità, le comunicazioni e l’acqua. Il secondo è invece legato all’aumento del numero di dispositivi dell’Internet delle cose e la mancanza di fiducia degli utenti nella sicurezza e nella privacy dei loro dispositivi”.
Il ruolo dell’Enisa
L’Enisa sarà innanzitutto un centro indipendente di competenze che contribuirà a promuovere un elevato livello di consapevolezza presso il pubblico e le imprese, coadiuvando al contempo le istituzioni dell’UE e gli Stati membri nell’elaborazione e nell’attuazione delle politiche. Avrà inoltre un ruolo primario nel sistema di certificazione della cybersicurezza in ambito europeo e, con l’entrata in vigore del Cybersecurity Act, potrà contare su un mandato permanente per assistere gli Stati membri nella prevenzione degli attacchi cibernetici e nello sviluppo delle loro capacità di difesa e preparazione in questo settore. Potrà, inoltre, contare su un aumento di bilancio e di organico.
“L’approvazione del Cybersecurity Act da parte del Parlamento europeo è un passo molto importante verso un’Europa più unita sul fronte della sicurezza cibernetica”, spiega Corrado Giustozzi – esperto di cibernetica del CERT – PA e componente del Permanent Stakeholders’ Group di Enisa. “Da un lato, infatti, si rafforza l’Enisa che ora diventa la vera e propria agenzia europea per la cybersecurity; dall’altro, con l’introduzione di una certificazione europea in tema di sicurezza informatica dei prodotti consumer, si pongono le basi perché i consumatori possano scegliere – tra gli oggetti tecnologici – quelli che forniscono maggiori e oggettive garanzie in termini di conformità alle regole sulla protezione dei dati personali e di fiducia sulle effettive potenzialità”.
Il sistema europeo di certificazione della sicurezza informatica
Nelle intenzioni del legislatore europeo, l’istituzione di un sistema comune di certificazione di questo tipo favorirà la cosiddetta “security-by-design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti. In parole povere, si tratta di migliorare la sicurezza dei prodotti connessi, dei dispositivi per l’Internet degli oggetti e delle infrastrutture critiche.
“Questo nuovo quadro normativo – spiega Stefano Mele, avvocato esperto di nuove tecnologie e cybersecurity – oltre ad aumentare la fiducia dei consumatori sulla sicurezza di ciò che viene acquistato e utilizzato, fornirà anche vantaggi alle imprese che, per operare a livello transnazionale, non saranno più costrette a seguire differenti processi di certificazione, limitando così anche i costi amministrativi e finanziari”.
Tuttavia, aggiunge l’avvocato, “in virtù del principio di sussidiarietà, il Cybersecurity Act, almeno nella prima fase di adozione, non potrà automaticamente vincolare gli Stati Membri, salvo che questi non lo prevedano all’interno delle loro normative nazionali. Appare evidente come il fatto che un tema così complesso venga lasciato alla discrezionalità di ogni singolo Stato rischia di depotenziare lo sforzo compiuto dal legislatore europeo sul tema della sicurezza cibernetica pan europea. Peraltro, un ulteriore rischio su cui occorre porre già oggi l’attenzione è quello legato alla differente rigidità che alcuni Stati Membri potrebbero porre nel rilascio della certificazione. Il timore è che si creino “certificatori di serie A”, particolarmente attenti nell’applicazione di ogni singola richiesta dell’ENISA, e “certificatori di serie B”, magari meno attenti alle richieste di certificazione e più propensi, invece, ad attirare l’attenzione delle società produttrici di software e hardware. Un rischio che non possiamo permetterci già oggi e ancor meno nel prossimo futuro”.
Critica la posizione di Andrea Zapparoli Manzoni, membro del consiglio direttivo del Clusit, sull’impianto normativo del Cybersecurity Act: “L’attuale approccio del decisore europeo non è corretto. L’ipotesi che, lasciando l’adesione alla volontà dei singoli, il mercato faccia la magia di premiare i virtuosi è dimostrabilmente fallace. Il mercato premierà sempre il prodotto o servizio con il prezzo più conveniente rispetto ad una garanzia di maggiore sicurezza, con il risultato che i produttori virtuosi saranno svantaggiati commercialmente e gli utenti finali virtuosi lo saranno economicamente”.
È dunque necessario, prosegue Zapparoli Manzoni, “omologare l’adozione di questa normativa, attraverso due strumenti rafforzativi della stessa: da un canto l’obbligo di certificazioni stringenti per tutti gli operatori economici; dall’altro l’introduzione di assicurazioni RC obbligatorie che non risarciscano i danni se i sistemi non sono certificati (come per esempio si è fatto per aumentare la sicurezza nel settore automotive/trasporti, con strepitoso successo). Per ottenere questo risultato però, ovvero operare una vera rivoluzione e porre fine all’eccezionalismo dell’IT”.
Come nasce il Cybersecurity Act
A settembre del 2017 il presidente della Commissione Europea Jean-Claude Juncker annuncia l’adozione, da parte della Commissione europea, di un pacchetto sulla sicurezza cibernetica. Un mese dopo, il Consiglio Europeo, composto dai capi di Stato e di Governo, si è espresso favorevolmente all’adozione di un approccio comune europeo volto ad aggiornare la Cybersecurity Strategy del 2013 attraverso il rilancio di una Europa resiliente in materia di minacce cibernetiche.
Al Consiglio europeo di ottobre 2017 si è, poi, adottato l’Action Plan per dare il via al processo di riforma. Nel corso dei mesi successivi altri organi e istituzioni dell’UE hanno espresso opinioni e posizioni riguardo la bozza della riforma, che ha preso il nome di Cybersecurity Act.
A dicembre 2018 viene raggiunto l’accordo politico tra le diverse istituzioni europee. Infine questa settimana, il 13 marzo, il Parlamento Europeo approva con 586 voti favorevoli, 44 contrari e 36 astensioni il testo del Cybersecurity Act proposto dalla Commissione Europea. Si attende adesso il voto finale del Consiglio Europeo che concluderà l’iter di approvazione del provvedimento. Seguirà la pubblicazione sulla Gazzetta ufficiale dell’Unione.
Ilaria Orfino