Cybersecurity, l’UE detta le regole
di Mattia Schieppati
-
4 Luglio 2019
È in vigore il Cybersecurity Act, il regolamento che struttura un modello europeo di sicurezza informatica e mette il digital al centro delle strategie di sviluppo, lungo queste traiettorie: rafforzare la resilienza degli Stati membri agli attacchi, creare un mercato unico della sicurezza, accrescere la consapevolezza dei consumatori e stimolare la fiducia a livello di cittadini e di imprese nelle nuove tecnologie ...
C’è chi l’ha già battezzata «la terza via», un’alternativa made in Europe di approccio alla sicurezza informatica che mira all’armonizzazione collaborativa dei diversi Paesi anziché i diktat top-down che caratterizzano gli altri big continentali come Stati Uniti, Cina o Russia, o il laissez-faire che vige in altre aree del mondo (dall’America Latina al Sud-est asiatico). Ma, non per questo, si tratta di una legislazione morbida.
È entrato in vigore in questi giorni il
Cybersecurity Act (
qui il testo), il regolamento che ha lo scopo di creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti Ict e servizi digitali, con l’obiettivo di presentare «un modello europeo forte per la sicurezza informatica, in linea con i valori democratici Ue, a salvaguardia degli interessi dei cittadini e delle imprese europee», ha detto la commissaria Ue al Digitale, Mariya Gabriel. Un ulteriore passo di una strategia avviata nel 2017, con la prima normativa comunitaria sulla sicurezza informatica (la direttiva Nis) e proseguita con il regolamento europeo sul trattamento dei dati personali (l’arcinoto Gdpr). Il regolamento si muove in tre direzioni:
1. rafforzare la resilienza dell’Unione (e dei suoi singoli Stati membri) agli attacchi informatici, stabilendo un quadro comune di certificazione della sicurezza informatica;
2. creare un mercato unico della sicurezza cibernetica (per quanto riguarda prodotti e servizi);
3. accrescere la consapevolezza dei consumatori rispetto ai rischi che provengono dal cyberspazio, ma anche stimolare e far crescere la fiducia a livello di cittadini e di imprese, nelle tecnologie digitali.
Fare i conti con il digitale
«Le reti, i sistemi informativi e i servizi di comunicazione elettronica svolgono un ruolo essenziale nella società e sono diventati i pilastri della crescita economica», riconosce la Commissione Ue nelle premesse del regolamento: «Le tecnologie dell’informazione e della comunicazione sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno. La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l’avvento dell’Internet degli oggetti (Iot) nel prossimo decennio dovrebbero essere disponibile in tutta l’Unione un numero estremamente elevato di dispositivi digitali connessi. Sebbene un numero crescente di dispositivi sia connesso a Internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cybersicurezza. In tale contesto, l’uso limitato della certificazione fa sì che gli utenti individuali, nelle organizzazioni e nelle aziende dispongano di informazioni insufficienti sulle caratteristiche dei prodotti, dei servizi e dei processi connessi in termini di cybersicurezza, il che mina la fiducia nelle soluzioni digitali».
Una norma che guarda allo sviluppo
Come si può notare, il regolamento non ha solo un intento normativo, ma vuole anche essere un primo grande approccio di scenario, un documento che faccia il punto della situazione sulla rivoluzione in atto e sui compiti e le responsabilità delle istituzioni nel far sì che questa trasformazione porti sviluppo e crescita, non pericoli. Come sottolineano infatti i commentatori più esperti (uno su tutti, il
Financial Times, già in tempi non sospetti), il mercato europeo è uno dei più grossi al mondo per quanto riguarda il consumo di prodotti Ict e il sistema di certificazioni di sicurezza cibernetica europeo potrebbe diventare un modello globale per tutto il settore. Per questo, la strada intrapresa dall’Europa sta accendendo l’attenzione anche extra-Ue, perché le iniziative adottate a livello europeo si ripercuotono ben al di là delle frontiere del mercato unico, proiettando un modello di gestione della cybersecurity peculiare e interessante. Secondo gli esperti, se l’Unione europea riuscirà a mantenere e innovare i certificati di sicurezza informatica, potrebbe permettere alle aziende europee di acquisire posizioni di rilievo nei settori tecnologici e digitali a livello mondiale.
Il ruolo dell’Enisa
Una parte determinante nella gestione di questo complesso progetto di implementazione (che vede in campo un triangolo complesso fatto dalle istituzioni Ue, i governi dei singoli Paesi, ma anche tutto il sistema delle imprese del digital) la svolge l’Enisa, l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione. Un ente che fino ad ora si è occupato per lo più di «assistere» i Governi dei Paesi membri nell’armonizzazione della sicurezza digitale, e che ora acquisisce invece un ruolo attivo molto forte.
In particolare, dice il regolamento, «l’Enisa dovrebbe sostenere lo sviluppo e il potenziamento dei gruppi di intervento per la sicurezza informatica in caso di incidente (computer security incident response teams - Csirt) nazionali e dell’Unione previsti dalla direttiva (Ue) 2016/1148 perché raggiungano un livello comune elevato di maturità nell’Unione». Non solo: l’Enisa è chiamata a «contribuire a soddisfare la necessità di formazione e materiale formativo, comprese le necessità degli enti pubblici e, se del caso, in larga misura «formare i formatori», basandosi sul quadro delle competenze digitali per i cittadini al fine di assistere gli Stati membri e le istituzioni, gli organi e gli organismi dell’Unione nello sviluppo di capacità di formazione autonome», oltre che a «sostenere gli Stati membri nel campo della sensibilizzazione e dell’istruzione in materia di cybersicurezza, facilitando un coordinamento più stretto e lo scambio delle migliori pratiche tra Stati membri. Tale sostegno potrebbe consistere nello sviluppo di una rete di punti di contatto nazionali in materia di istruzione e di una piattaforma di formazione sulla cybersicurezza. La rete di punti di contatto nazionali in materia di istruzione potrebbe operare nel quadro della rete dei funzionari nazionali di collegamento e costituire un punto di partenza per il coordinamento futuro all’interno degli Stati membri».