Il Cybersecurity Act ha un notevole ruolo nel piano di cybersicurezza nell’UE, dando un nuovo ruolo all’ENISA ed introducendo una certificazione di cybersicurezza europea.
Il quarto articolo della rubrica CyberItalia propone una sintetica panoramica del Cybersecurity Act, che integra il quadro di cyber resilienza nell’Unione europea stabilendo schemi europei di certificazione per la sicurezza informatica dei prodotti ICT e potenziando il ruolo dell’ENISA.
Il Cybersecurity Act (Regolamento (UE) 2019/881) si affianca e in parte complementa le previsioni della Direttiva NIS 1 con l’obiettivo di rafforzare ulteriormente il quadro della cybersicurezza a livello europeo.
L’obiettivo del Cybersecurity Act è duplice: da un lato creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, dall’altro rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (“ENISA”), istituita nel 2004 con mandato temporale limitato per garantire la sicurezza di reti e sistemi informativi nell’UE.
Quando?
Adottato il 17 aprile 2019, in quanto regolamento europeo è diventato direttamente applicabile in tutti gli Stati membri a partire dal 27 giugno 2019 e qundi è attualmente in vigore.
A chi si rivolge?
Due sono gli attori principali a cui si rivolge il Cybersecurity Act : l’ENISA, in ottica di consolidamento e potenziamento del suo ruolo e dei suoi compiti, e la Commissione EU che, congiuntamente all’ENISA, è investita dell’impegno di istituire uno schema unitario di certificazione a livello EU.
Cosa prevede il Cybersecurity Act sulla cybersicurezza?
Il Cybersecurity Act nasce con un duplice obiettivo:
Rafforzare il ruolo dell’ENISA
L’ENISA (in origine “Agenzia europea per la sicurezza delle reti e dell’informazioni”) è stata fondata nel 2004 con un mandato di cinque anni (poi prorogato fino al 2019) come agenzia specializzata con il compito di supportare le istituzioni e le organizzazioni nell’UE nella protezione informatica delle proprie infrastrutture e sistemi. Con lo sviluppo delle tecnologie ICT e la crescita esponenziale dei rischi di sicurezza associati a queste è diventato però necessario potenziare il ruolo operativo e di coordinamento affidato all’ENISA per creare strategie di prevenzione e risposta uniformi a livello europeo.
Il Cybersecurity Act mira a conseguire questo obbiettivo. Il Regolamento conferisce infatti all’ENISA un mandato permanente, accompagnato da maggiori risorse e nuovi compiti non più solo di consulenza tecnica, ma anche di supporto e coordinamento alla gestione degli incidenti informatici da parte degli Stati membri.
Sistema europeo di certificazione
Attraverso il Cybersecurity Act, viene introdotto un quadro di regole per l’istituzione di schemi europei di certificazione della sicurezza informatica di prodotti e servizi digitali.
Attualmente, esistono diversi sistemi di certificazione di prodotti ICT su base nazionale, senza che tuttavia un reciproco riconoscimento. Per scongiurare il rischio di frammentazione a livello europeo, il Cybersecurity Act impone la realizzazione di un quadro comune di certificazione sulla cibersicurezza, che consenta il riconoscimento dei certificati risultanti da parte di tutti gli Stati membri. Il nuovo quadro dovrebbe non solo promuovere un approccio di “security by design” ma rendere più facile per gli operatori transfrontalieri comprendere le caratteristiche di sicurezza del prodotto o del servizio.
Dato che la natura del rischio può variare considerevolmente a seconda del prodotto o servizio ICT considerato, il Regolamento propone un quadro di certificazione articolata su tre livelli (base, sostanziale ed elevato), che spaziano dalla semplice autocertificazione a un’attività di valutazione più approfondita.
Gli schemi europei di certificazione saranno predisposti, in prima battuta, dall’ENISA e adottati poi formalmente dalla Commissione europea mediante atti di esecuzione.
L’adozione di certificazione rimane però facoltativo, a meno che venga richiesta esplicitamente per determinate categorie di prodotti o servizi da norme settoriali specifiche, che la Commissione Europea si riserva di valutare periodicamente.
Al momento, l’ENISA, con il supporto di gruppi di esperti, sta lavorando sullo sviluppo di tre diversi schemi di certificazione: EUCC – basato sui Common Criteria e indirizzato a prodotti software e hardware; EUCS – per i servizi cloud e EU5G per architetture 5G. Di questi, il primo è stato già inviato alla Commissione europea che il 3 ottobre 2023 ha avviato una consultazione pubblica sulla bozza di atto esecutivo, mentre si attende entro la fine del 2023 una prima bozza dello schema EU5G.
Il 18 aprile 2023 la Commissione ha proposto una modifica mirata del Cybersecurity Act che amplia l’ambito di applicazione dei sistemi europei di certificazione della cibersicurezza anche ai c.d. “servizi di sicurezza gestiti”, non limitandola quindi a prodotti e servizi ICT già coperti dal Cybersecurity Act. I “servizi di sicurezza gestita” (es. risposta agli incidenti, penetration test, audit di sicurezza) svolgono infatti un ruolo sempre più importante nella prevenzione e nella mitigazione degli incidenti di cibersicurezza. La proposta è al momento in fase discussione in seno al Consiglio dell’UE e Parlamento.
Sulla cybersicurezza vedi anche CyberItalia: Prima normativa italiana cybersicurezza – il Decreto NIS in pillole (dirittoaldigitale.com), CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole e CyberItalia: L’evoluzione normativa della cybersecurity in Italia (dirittoaldigitale.com)
Autore: Maria Chiara Meneghetti
