Privacy&

2019/2

Chiara Giannella Giuseppe D'Agostino Luca Spada Giorgia Ercoli

Cybersecurity Act e certificazioni ICT: luci e ombre della nuova disciplina in materia di cybersicurezza

Il 12 marzo 2019 il Parlamento europeo ha approvato in seduta plenaria la proposta di un testo di legge dedicato alla disciplina della cybersicurezza in Europa, entrato in vigore il 27 giugno 2019 con la denominazione di Regolamento (UE) 2019/881 del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, che abroga il Regolamento (UE) n. 526/2013 , noto ai più semplicemente come Cybersecurity Act (rispettivamente, il “ Regolamento ”, l’“ ENISA ” e le tecnologie “ ICT ”). (Nel corso di redazione del presente abstract il Regolamento non era ancora entrato in vigore, né era stata resa disponibile la traduzione ufficiale dello stesso in lingua italiana. Eventuali difformità tra la terminologia presente nel contributo pubblicato sul secondo numero di Privacy& e quella utilizzata nel Regolamento sono quindi dovute a questa circostanza).#Collocandosi nella cornice della normativa di matrice europea in materia di sicurezza informatica, al fianco delle disposizioni della Direttiva (UE) n. 2016/1148 (“ Direttiva NIS ”) e, per certi versi, di quelle del Regolamento (UE) n. 2016/679 (“ GDPR ”), il Cybersecurity Act mira alla realizzazione delle c.d. “cyber-resilienza” dell’UE mediante il rafforzamento del ruolo dell’ENISA e l’instaurazione di un mercato unico della cybersecurity in Europa, grazie all’introduzione di un sistema unificato per il rilascio di attestazioni dell’affidabilità e della capacità di resistere alle minacce cibernetiche di prodotti, servizi e processi ICT valevoli a livello UE. In considerazione della rilevanza riconosciuta alla materia nelle politiche comunitarie e alla luce della potenziale portata della nuova disciplina, gli autori hanno analizzato nel dettaglio le previsioni del Regolamento, andando, inter alia, a delineare i pregi - ma anche i “lati oscuri” - del quadro europeo di certificazione e le possibili sovrapposizioni tra il Cybersecurity Act e il GDPR.#L’analisi effettuata mostra un Regolamento che, pur presentandosi come un testo di legge dal valore quasi “programmatico” atto a scandire le modalità e le fasi di un progetto che prenderà forma nei prossimi mesi (molto dipenderà, infatti, dalle scelte che la Commissione è chiamata a prendere nel prossimo futuro, soprattutto, per quanto concerne l’individuazione dei prodotti, servizi e processi per i quali l’ENISA dovrà procedere con priorità all’elaborazione dei candidate schemes, nonché in merito all’opportunità di rendere obbligatoria la certificazione in relazione ad alcuni di essi), mette in campo concetti, quali la “ security by design ” e “ by default ”, potenzialmente in grado di stravolgere il modo con cui è ad oggi concepita, nel contesto del disegno di prodotti e servizi ICT, la questione relativa alla loro capacità di reggere e reagire a rischi e incidenti informatici, portando la  cybersecurity  a divenire un aspetto essenziale da tenere nella debita considerazione in ogni fase del loro sviluppo. L’articolo non manca peraltro di cogliere alcuni profili critici del nuovo impianto normativo: nello specifico, poco lungimirante è apparsa la scelta di lasciare, almeno in un primo momento, alla totale discrezionalità dei produttori la decisione di sottoporre o meno le proprie soluzioni tecnologiche al vaglio degli enti certificatori, mentre sorprendente, soprattutto alla luce di quanto accaduto con il GDPR, è stata ritenuta l’intenzione di affidare integralmente alla legge nazionale la definizione delle sanzioni applicabili in caso di violazione delle norme del Regolamento e delle disposizioni di cui agli schemi di certificazione.

L'ACCESSO A QUESTO CONTENUTO E' RISERVATO AGLI UTENTI ABBONATI

Sei abbonato? Esegui l'accesso oppure abbonati.