Cybersecurity Act, il nuovo quadro

La vita quotidiana dei cittadini europei e le economie degli Stati membri sono evidentemente sempre più dipendenti dalle tecnologie digitali e, conseguentemente, influenzate dal correlato aumento esponenziale di attività informatiche dolose, siano esse perpetrate da cyber-criminali sempre più capaci (e dunque motivate dal profitto) o da attori statali e para-statali (per potenziali ragioni politiche, strategiche o militari).  

In assenza di misure adeguate a garantire il corretto funzionamento dei device che controlleranno elementi essenziali delle nostre vite o del nostro business (quali salute, reti elettriche, automobili, finanza), il rischio di subire attacchi di matrice informatica è infatti destinato ad aumentare in modo direttamente (o forse in misura più che) proporzionale alla trasformazione digitale e ad assumere dimensioni davvero molto preoccupanti se si pensa che entro il 2020 si stima che saranno decine di milioni i dispositivi connessi alla rete. 

Nonostante il dato allarmante, ancora oggi la sicurezza informatica spesso non sembra considerata una priorità nella progettazione e nello sviluppo di prodotti, servizi e processi ICT. Di questa circostanza fattuale è stata (finalmente e necessariamente) presa coscienza a livello istituzionale e la cybersicurezza sta via via assumendo un ruolo di primo piano nell’agenda politica e legislativa comunitaria. 

A breve distanza dall’entrata in vigore della Direttiva NIS (Direttiva (UE) n. 2016/1148, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione), per le Istituzioni europee è infatti giunto il momento dell’adozione di un nuovo approccio - volto a rafforzare la resilienza agli attacchi cibernetici e l’autonomia strategica dell’UE - che dovrebbe condurre l’Unione nella transizione da un’impostazione “reattiva” ad una “proattiva” alla problematica. È su queste premesse che prende vita il Cybersecurity Act (denominazione con cui è noto il Regolamento relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il Regolamento (UE) n. 526/2013) firmato, nel testo finale, il 17 aprile 2019 e in attesa di pubblicazione sulla Gazzetta Ufficiale dell’Unione (il “Regolamento”).

Il Regolamento mira alla realizzazione della c.d. “ciberresilienza” dell’UE, attraverso il rafforzamento dei poteri e del ruolo dell’ENISA - l’Agenzia dell’Unione costituita nel 2004 con il Regolamento (CE) n. 460/2004, ad oggi operante quale centro per la cybersicurezza in Europa in virtù di diversi mandati a tempo determinato succedutisi negli anni - e la creazione di un mercato unico della cybersecurity grazie all’istaurazione di un quadro europeo di certificazione della sicurezza informatica di prodotti, servizi e processi ICT, nel cui ambito, su base volontaria, manifacturer e provider avranno la possibilità di ottenere un attestato a dimostrazione dell’affidabilità e della capacità di resistere alle minacce cibernetiche delle soluzioni tecnologiche da loro proposte.

Mediante l’introduzione di concetti quali la “security by design” e la “security by default”, il Regolamento appare potenzialmente in grado di stravolgere il modo con cui è ad oggi concepita, nel contesto del disegno di prodotti e servizi ICT, la questione relativa alla loro capacità di reggere e reagire a rischi e incidenti informatici, portando la cybersecurity a divenire un aspetto essenziale da tenere nella debita considerazione in ogni fase del loro sviluppo.

Nonostante il diffuso consenso intorno all’adozione del testo di legge, non è mancato chi già in fase di public consultation ha rilevato mancanze e criticità soprattutto in merito al nuovo quadro europeo di certificazione della cybersicurezza, ritenendo poco lungimirante la scelta di lasciare alla discrezionalità dei produttori la decisione di sottoporre o meno le proprie soluzioni tecnologiche al vaglio degli enti certificatori. 

Alla luce della rilevanza del Regolamento e della evidente trasversalità della materia - che potrebbe peraltro comportare alcune sovrapposizioni con quanto previsto dal Regolamento (UE) n. 2016/679 (il c.d. “GDPR”) - Privacy& ha deciso di dedicare al Cybersecurity Act un apposito articolo di approfondimento che sarà pubblicato nel secondo numero della Rivista. 

Stay tuned!