1 Luglio 2019
Cybersecurity Act: la nuova normativa sulla sicurezza informatica

Cybersecurity Act: cos’è e come aumenta la sicurezza informatica

Cybersecurity Act, le misure europee per garantire sicurezza: dalla certificazione unica della sicurezza informatica al rafforzamento del ruolo dell’ENISA

Il Cybersecurity Act è il nuovo Regolamento UE pensato dalle istituzioni al fine di rafforzare la sicurezza informatica dei prodotti ICT e dei servizi digitali in Europa. Il Regolamento è stato pubblicato in Gazzetta Ufficiale il 7 Giugno 2019 ed è entrato in vigore 20 giorni dopo, il 27 Giugno 2019.

Il mondo digitale è protagonista assoluto della quotidianità e gli attacchi a sicurezza e privacy sono parte integrante del mondo digitale. Partendo da questa affermazione, è semplice comprendere perché anche le istituzioni si stiano muovendo in direzione digital. Già nel 2016, infatti, l’Unione Europea approvava la Direttiva NIS, prima vera normativa a livello UE riguardante la sicurezza cibernetica. A distanza di tre anni, il 7 Giugno 2019 arriva l’approvazione della nuova normativa europea sulla sicurezza digitale, il Cybersecurity Act.

Cos’è il Cybersecurity Act? Un Regolamento volto a rafforzare la sicurezza cibernetica in Europa. Questo strumento normativo si pone gli obiettivi di rafforzare la resistenza europea agli attacchi informatici, di accrescere la fiducia dei consumatori verso il mondo digital e di creare un mercato unico e sicuro in ambito cyber-sicurezza. Il nuovo Regolamento europeo ha ottenuto l’approvazione da parte del parlamento il 12 Marzo 2019 e da parte del Consiglio il 9 Aprile 2019. Come ogni Regolamento, anche il Cybersecurity Act assume valenza immediata per tutti gli Stati membri dal giorno 27 Giugno 2019. Non ci sarà bisogno di alcun intervento legislativo nazionale, fatta eccezione per alcune questioni limitate (come ad esempio le sanzioni applicabili in caso di mancato adeguamento).

Il Cybersecurity Act tratta principalmente due argomenti:

  • Rafforzamento del mandato dell’ENISA, Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione. L’Agenzia assume un ruolo diretto nella prevenzione dei cyber-attacchi, rafforzando la propria posizione.
  • Definizione del quadro europeo delle certificazioni in ambito sicurezza informatica. In altre parole vengono tracciati standard – validi in tutto il territorio UE – con cui valutare se prodotti e servizi IT siano effettivamente sicuri e certificabili.

Vuoi migliorare i tuoi risultati di business?
Scegli la soluzione di pagamento Axepta più adatta alle tue esigenze

 

Cybersecurity Act: come cambia il ruolo dell’ENISA?

La prima parte del Cybersecurity Act – articoli da 1 a 45 – ridefinisce il ruolo e il mandato dell’ENISA (Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione). L’Agenzia è stata istituita nel 2004 al fine di garantire un buon livello di sicurezza dei sistemi e dei dispositivi IT all’interno dell’UE. In primo luogo il nuovo Regolamento europeo rende permanente il mandato dell’ENISA (in scadenza nel 2020) affidando all’ente nuove risorse di particolare importanza.

Il Cybersecurity Act ridefinisce completamente il ruolo dell’Agenzia conferendole un compito di spicco nella gestione tecnica e operativa di tutti i potenziali incidenti informatici. Fino a questo momento, infatti, l’ENISA ha svolto principalmente due funzioni:

  • Assistenza e consulenza tecnica nell’attività di elaborazione di politiche in materia di sicurezza informatica per tutti gli Stati membri;
  • Prevenzione di incidenti informatici ed elaborazione di tecniche per contrastarli. L’attività operativa di gestione degli incidenti non era (fino ad ora) svolta dall’Agenzia, ma dai singoli Stati membri.

Con il nuovo Regolamento europeo, l’ENISA non si limiterà più esclusivamente a ricoprire un ruolo di assistenza tecnica, bensì si occuperà attivamente di fornire supporto nell’attività di gestione operativa degli incidenti informatici. Inoltre, dal 7 Giugno 2019 l’Agenzia ricoprirà una mansione indispensabile nella definizione e gestione delle certificazioni informatiche introdotte dallo stesso Cybersecurity Act.

Infine, la nuova normativa rafforza considerevolmente la posizione di ENISA nel processo di formazione per cittadini e imprese riguardo alla sicurezza dei dati. L’Agenzia diventa un vero e proprio centro indipendente con il compito di sensibilizzare e istruire gli Stati membri in ambito cybersecurity.

 

Cybersecurity Act: definizione del quadro europeo di certificazione della cybersecurity

Il secondo punto chiave del Cybersecurity Act è trattato negli articoli 46-65 e riguarda l’istituzione di un quadro europeo di certificazione della cyber-sicurezza di prodotti e servizi digitali. Questo provvedimento ha il fine di facilitare lo scambio e il commercio di tutti prodotti ICT all’interno dell’UE definendo degli standard universali, validi per tutti gli Stati membri. Grazie all’istituzione di queste certificazioni, sarà possibile creare un mercato interno all’UE di prodotti e servizi informatici sicuri e certificati.

Esistono già, infatti, degli standard di certificazione di sicurezza informatica validi per ciascuno Stato, ma non esiste un quadro universale di giudizio all’interno di tutto il territorio UE. Le imprese che desiderano creare un giro d’affari transnazionale sono spesso costrette a certificare i propri prodotti/servizi più volte. Per esempio, le certificazioni informatiche valide per la Germania non risultano valide per la Francia. Di conseguenza, un’azienda presente in entrambi gli Stati dovrà certificare i propri prodotti due volte, incrementando notevolmente i costi (una certificazione può arrivare a costare anche 1 milione di Euro).

Il Regolamento specifica che la realizzazione del quadro europeo di certificazione informatica non sarà immediata. Nell’articolo 47 è riportato che la Commissione Europea emanerà un comunicato entro 12 mesi nel quale verrà esposto il programma di lavoro progressivo. Questo programma sarà basato sulle priorità in ambito cybersecurity stabilite e valutate dalla Commissione stessa.

Ma, non tutti i prodotti e servizi informatici hanno lo stesso livello di rischio! Partendo da questo presupposto, il Cybersecurity Act definisce 3 livelli differenti di certificazione:

  1. Livello base

Per ottenere il livello di affidabilità di base è sufficiente svolgere un riesame della documentazione tecnica e una valutazione delle possibili attività sostitutive equivalenti. Esclusivamente in questo caso, il produttore/fornitore dei prodotti o servizi ICT può ricorrere all’autocertificazione.

  1. Livello sostanziale

Il livello di affidabilità sostanziale prevede una valutazione di sicurezza effettuata per ridurre al minimo i rischi di cyber-attacchi commessi da soggetti che dispongono di risorse e abilità limitate. Per ottenere questa certificazione sarà necessario in primo luogo valutare con un test che non ci siano vulnerabilità pubblicamente note. Di seguito un secondo test dovrà garantire che i prodotti/servizi esaminati compiano in modo corretto tutte le necessarie funzionalità di sicurezza.

  1. Livello elevato

Il livello di sicurezza più approfondito è quello elevato. In questo caso la valutazione di sicurezza viene effettuata per ridurre al minimo il rischio di cyber-attacchi commessi da soggetti che dispongono di risorse e abilità specifiche e significative. In questo caso le valutazioni di sicurezza comprendono tre test. Il primo per garantire che non esistano vulnerabilità pubblicamente note, il secondo per dimostrare che i prodotti attuino regolarmente le funzioni avanzate di sicurezza e il terzo per valutare la resistenza dei prodotti agli attacchi di soggetti qualificati (mediante specifici test di penetrazione).

 

Quali sono le linee guida per definire il quadro europeo di certificazione della cybersecurity?

Il Cybersecurity Act, nell’articolo 51, individua già delle linee guida prioritarie per la definizione dei requisiti che i dispositivi ICT dovrebbero possedere per ottenere la certificazione di sicurezza europea.

Per ottenere la certificazione, sarà necessario definire che i sistemi, servizi o processi informatici:

  1. Siano in grado di proteggere i dati dall’accesso non autorizzato e dall’appropriazione indebita durante tutto il proprio ciclo di vita;
  2. Siano in grado di garantire l’accesso, il trattamento o la modifica di dati esclusivamente a persone, programmi o macchine con gli specifici diritti di accesso;
  3. Possano proteggere i dati da distruzione, modifica o perdita non autorizzate;
  4. Possiedano la funzionalità di ripristinare tempestivamente l’accesso a dati, funzioni e servizi in caso di incidente tecnico o fisico;
  5. Garantiscano l’individuazione di dipendenze e vulnerabilità note e la registrazione relativa all’accesso ai dati (a quali dati è stato effettuato l’accesso e da chi);
  6. Siano stati progettati secondo i criteri di “security by design”;
  7. Implementino le impostazioni più sicure e vengano aggiornati costantemente mediante meccanismi protetti e verificati.

 

Cybersecurity Act: 3 aspetti positivi

L’Europa, già con la Direttiva NIS e il Regolamento GDPR, si era mossa in direzione cybersecurity. Il nuovo Cybersecurity Act non è che un ulteriore provvedimento volto ad accrescere la sicurezza informatica. Se le prime due normative si rivolgevano ad attività e aziende che hanno accesso ai dati personali, il nuovo Regolamento pone l’attenzione sui prodotti e i servizi informatici. Come già affermato, infatti, il Cybersecurity Act vuole elaborare un quadro normativo per certificare il livello di sicurezza di dispositivi e processi ICT.

Quali sono le conseguenze del Cybersecurity Act? Ecco 3 aspetti positivi:

  1. Protezione dati di aziende e cittadini UE

La prima conseguenza positiva del nuovo Regolamento europeo è senza dubbio relativa alla sicurezza digitale garantita per cittadini e imprese. Certificare a livello europeo il livello di sicurezza informatica di ciascun dispositivo è fondamentale per garantire ai consumatori fiducia e tranquillità. Molti utenti, infatti, scelgono di non affidarsi al mondo digitale per paura di violazioni della propria privacy. Con il Cybersecurity Act ci sarà finalmente una garanzia di cyber-sicurezza autentica e valida in tutta Europa.

  1. Mercato digitale unico

Il Cybersecurity Act rappresenta senza dubbio un importante passo avanti per la costruzione di un mercato unico europeo in ambito digital. Stabilire un quadro europeo che certifichi il livello di sicurezza di prodotti e dispositivi informatici è essenziale per garantire processi commerciali agevoli oltre confine. In altre parole, con una certificazione unica, sarà possibile per fornitori e produttori commerciare i propri dispositivi anche al di fuori del proprio Stato. Gli Stati europei, infatti, hanno requisiti di certificazione differenti per la cybersecurity. Un prodotto certificato in Germania potrebbe non esserlo in Francia. Per questo, molti produttori investono risorse considerevoli per effettuare certificazioni valide in più Stati. Con il nuovo Regolamento sarà sufficiente un’unica certificazione, valida in tutto il territorio europeo. Questo permetterebbe ai fornitori non solo di risparmiare notevolmente, ma di allargare il proprio giro d’affari senza considerare i confini e le normative dei singoli Stati. Un passo decisamente importante in direzione internazionalizzazione PMI.

  1. Tutela prodotti informatici europei

Un ulteriore vantaggio derivante dal Regolamento Cybersecurity Act è la tutela dei prodotti europei. Molti prodotti informatici provenienti da Stati non europei hanno, infatti, costi più contenuti. La maggior parte dei consumatori preferisce spendere meno denaro e utilizzare dispositivi più economici, ma spesso meno sicuri. Questo accade perché anche i prodotti europei, fino ad oggi, non hanno avuto una normativa di riferimento che garantisse sicurezza a 360 gradi. Di conseguenza, i consumatori individuano nell’economicità il parametro migliore per scegliere quale prodotto ICT acquistare. La certificazione di sicurezza però, garantirebbe ai prodotti europei una qualità elevata e un livello di sicurezza senza paragoni. Questa garanzia potrebbe essere essenziale per favorire l’acquisto di prodotti europei: più costosi, ma senza dubbio più sicuri.

Vuoi far crescere la tua impresa e migliorare i tuoi risultati di business?
Con i sistemi di pagamento di Axepta puoi trovare la soluzione di pagamento online migliore per te

Condividi questo articolo!