Verso un sistema armonizzato della certificazione della sicurezza cyber di prodotti, processi e servizi ITC. Analisi del Regolamento UE 2019/881

Premessa

Dal giugno scorso è in vigore a livello sovranazionale il Regolamento del Parlamento Europeo (PE) e del Consiglio 17.4.2019 (UE) 2019/881 (relativo all’ENISA[1] – Agenzia UE per la sicurezza informatica e alla certificazione di sicurezza applicabile alle tecnologie dell’informazione e della comunicazione[2] – anche solo “il Regolamento”) abrogativo del precedente Regolamento del PE e Consiglio 21.5.2013 (UE) 2013/526, che concerne le attività necessarie a proteggere le reti e i sistemi informativi che tutti noi utilizziamo in tutti i campi nel quotidiano, oltrechè a proteggere noi stessi e altri utenti di tali sistemi da potenziali minacce informatiche, mediante la previsione di un “sistema di certificazione europeo” armonizzato della cibersicurezza (i.e. quadro europeo di certificazione della cibersicurezza).

Più in particolare, il Regolamento, per garantire il buon funzionamento di prodotti, servizi e processi ITC con elevati livelli di cibersicurezza, ciber-resilienza e fiducia interna nel mercato UE, meglio definisce funzioni, compiti e aspetti organizzativi dell’ENISA e al contempo declina il quadro europeo del“sistema di certificazione UE” dei predetti servizi, processi e prodotti ITC UE, sulla base di una specifica road map; che, con il coinvolgimento attivo della Commissione UE supportata da uno specifico gruppo di lavoro dedicato (i.e. ECCG[3] – Gruppo Europeo per la Certificazione di Sicurezza) porterà a un sistema di certificazione armonizzato e vincolante quanto alla cibersicurezza digitale dell’Unione, con sostituzione degli analoghi sistemi di certificazione esistenti, in ambito nazionale. Ciò in quanto: “le reti e i sistemi informativi, le reti ed i servizi di comunicazione elettronica svolgono un ruolo essenziale nella società e sono diventati i pilastri della crescita economica. Le tecnologie dell’informazione e della comunicazione (ITC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali, la Sanità’, l’Energia, la Finanza, i Trasporti e in particolare contribuiscono al funzionamento del mercato interno” (cfr. Considerando 1 Reg.). In tale contesto “la certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti, servizi e processi ITC e nell’accrescere la fiducia negli stessi. Il mercato unico digitale, in particolare l’economia dei dati e l’Internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti, servizi e processi offrono un determinato livello di ciber sicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro”(cfr. Considerando 65 Reg.).

Sono quindi tre i macro-obiettivi, tra loro collegati, perseguiti dal Regolamento:

1) creare un quadro europeo ben definito sulla sicurezza informatica di prodotti ITC e servizi digitali;
2) rendere più solido il ruolo dell’ENISA in tale ambito;
3) imprimere maggiore fiducia nei consumatori che guardano al mercato digitale con il sistema di certificazione della cibersicurezza (si stima che il mercato europeo della sicurezza informatica valga 130 miliardi di euro, con una crescita annua del 17%).

Cybersicurezza: il quadro prospettico degli interventi previsti dal Regolamento

Integrando il disposto normativo UE esistente sulle misure di protezione in ambito informatico e digitale (v. TABELLA 1), il Regolamento persegue alti livelli di sicurezza nelle operazioni e nelle transazioni UE a mezzo dell’ITC e detta le regole per attenuare rischi e vulnerabilità informatiche intra UE (in particolare a livello transfrontaliero) per aumentare l’approccio preventivo-contenitivo di rischi e attacchi cui posso essere soggetti gli utenti delle reti informatiche, siano essi individui, organizzazioni, aziende (ivi comprese PMI e start up), PA, o parte della catena della fornitura.

TABELLA 1- PRINCIPALI FONTI UE RILEVANTI IN MATERIA DI SICUREZZA INFORMATICA DELLE RETI
  • Strategia UE 2013 per la ciber sicurezza: è la strategia delle Istituzioni Europee per orientare la risposta politica dell’Unione alle minacce ed ai rischi informatici con riferimento a prodotti, servizi e processi relativi alle TIC – Tecnologie d’Informazione e Comunicazione[4];
  • Direttiva del Consiglio e del Parlamento UE 19.7. 2016 (UE) 2016/1148 (recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’UE) (Direttiva NIS);
  • GDPR – Regolamento Generale sulla protezione dei dati 27.4.2016 (UE) 2016/679;
  • Direttiva del Consiglio e del Parlamento UE 12.7.2002 (CE) 2002/58 (relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche);
  • Direttiva del Consiglio e del Parlamento UE 11.12.2018 (UE) 2018/1972 che istituisce il Codice Europeo delle comunicazioni elettroniche.

Con la previsione di un sistema centralizzato di certificazione della cibersicurezza europeo che rafforzi il quadro informativo delle caratteristiche tipiche di prodotti, servizi e processi ITC assoggettati a tale iter di valutazione, il Regolamento intende in particolare favorire il ricorso a processi di c.d. alfabetizzazione/igiene informatica nell’uso della rete; per tali intendendosi semplici misure di routine che se attuate e svolte dagli utenti, sono in grado di ridurre al minimo la loro esposizione a rischi da minacce informatiche. Al contempo, il Regolamento utilizza la certificazione in materia di cybersecurity come strumento utile ad aumentare la fiducia degli operatori di mercato per le transazioni on line, con il ricorso a prodotti, servizi e processi assoggettati a un sistema uniforme e centralizzato di attestazione della cibersicurezza [5], nella convinzione che “i certificati europei di cibersicurezza e le dichiarazioni UE di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli” (cfr. Considerando 93 Reg.).

Conseguentemente, il Regolamento promuove programmi di cooperazione UE – Stati Membri (SM) e anche dell’UE con Organizzazioni internazionali e Paesi terzi, per gestire le minacce informatiche – oggi problema globale – e definisce in modo ampio il mandato in capo all’ ENISA, quale principale Ente deputato allo sviluppo e all’attuazione delle politiche e normative europee in materia di sicurezza informatica (v. TABELLA 2), assegnando all’Agenzia competente compiti di supporto alla Commissione UE e propulsivi quanto al quadro europeo di certificazione della cibersicurezza.

TABELLA 2- COMPETENZE DELL’ENISA – AGENZIA EUROPEA PER LA CYBER SICUREZZA (QUADRO DI SINTESI)

Per previsione del Regolamento, lENISA “svolge i compiti che le sono attribuiti allo scopo di conseguire un elevato livello comune di cibersicurezza in tutta l’Unione, anche sostenendo attivamente gli SM, le istituzioni, gli Organi e gli Organismi UE nel miglioramento della ciber sicurezza.In particolare, secondo le previsioni programmatiche del Regolamento l’Agenzia:

  • funge da punto di riferimento per pareri ed è competente in materia di per Istituzioni, Organi ed Organismi dell’Unione nonché per altri portatori di interessi pertinenti dell’Unione;
  • svolgendo i compiti di cui al Regolamento contribuisce a ridurre la frammentazione nel mercato interno in materia di cibersicurezza; esercitando poteri propulsivi, di assistenza, consulenza, consultazione e pareristica nella promozione delle politiche UE sulla cibersicurezza;
  • sostiene lo sviluppo delle capacità e della preparazione dell’UE e delle Istituzioni, quanto alle competenze in materia di sicurezza informatica e cibersicurezza;
  • promuove la cooperazione e la condivisione di informazioni a livello UE con gli SM e con i portatori di interessi nel settore pubblico e privato in materia di ciber sicurezza; contribuendo altresì a rafforzare le capacità di ciber sicurezza a livello UE per sostenere gli SM nella prevenzione delle minacce informatiche, e nella reazione alle stesse – in particolare in caso di incidenti transfrontalieri;
  • promuove un elevato livello di consapevolezza in materia di cibersicurezza, incluse l’igiene informatica e l’alfabetizzazione informatica di cittadini, organizzazioni e imprese;
  • relaziona annualmente in tema di incidenti/notifiche di violazioni della sicurezza le Istituzioni Ue e tutti i portatori di interesse;
  • effettua analisi delle vulnerabilità e organizza simulazioni per prevenire incidenti futuri;
  • coopera attivamente con: CERT UE – Computer Emergency Response Team UE (squadra di pronto intervento a livello delle Istituzioni UE); EC3 – European Cybercrime Center di Europol; CSIRT – Computer Security Incident Response Teams, nazionali e UE;
  • esegue analisi, raggruppa, organizza e mette a disposizione del pubblico tramite portale dedicato, informazioni sulla cibersicurezza fornite da Istituzioni UE, o su base volontaria dagli SM ed altri portatori di interessi del settore pubblico e privato.

Quanto specificatamente alla certificazione UE della cibersicurezza, l’Agenzia:

  • sostiene e promuove lo sviluppo e l’attuazione della politica UE in materia di certificazione della sicurezza di prodotti, servizi e processi ITC;
  • promuove l’uso della certificazione europea della cibersicurezza e contribuisce all’istituzione e al mantenimento di apposito quadro europeo di certificazione della cibersicurezza;
  • effettua valutazioni e proposte sugli attuali sistemi europei di certificazione della cibersicurezza;
  • assiste la Commissione UE nella definizione di standard applicabili ai sistemi di certificazione;
  • elabora e pubblica orientamenti e buone prassi applicabili, in cooperazione con le competenti autorità nazionali di certificazione sulla cibersicurezza;
  • facilita la definizione di norme europee e internazionali in materia di certificazione e cibersicurezza;
  • gestisce il sito web dedicato a fornire informazioni sui sistemi europei di certificazione sulla cibersicurezza e sulle dichiarazioni UU di conformità, e li pubblicizza; specificando anche i sistemi di certificazione nazionali che saranno sostituiti, secondo uno specifico programma progressivo (i.e. road map) da analogo sistema europeo armonizzato di attestazione di conformità.

 

In ogni caso, la governance del quadro europeo di certificazione della ciber sicurezza terrà conto della partecipazione degli SM e dell’adeguato coinvolgimento dei portatori di interesse; con un focus mirato sulla Commissione UE durante l’intero processo di pianificazione e di proposta, richiesta, preparazione, adozione e revisione dei vigenti sistemi di certificazione nazionali sulla sicurezza informatica.

Come funziona il quadro europeo del sistema di certificazione della cibersicurezza

Per rendere possibile un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza, il Regolamento prelude a un meccanismo di certificazione uniforme attestante che i prodotti, servizi e processi ITC valutati nel loro ambito e per le loro specifiche funzionalità, sono conformi a determinati requisiti di sicurezza predefiniti a livello UE, sia quanto alla loro disponibilità, autenticità, integrità, sia quanto alla riservatezza dei dati da essi conservati, trasmessi o trattati, per tutto il loro ciclo di vita.

Nel quadro previsionale del Regolamento, compete in particolare alla Commissione UE con il supporto dell’ENISA di elaborare un documento strategico atto a consentire al settore, alle autorità nazionali e agli organismi di normazione tecnica in particolare (i.e. gli Organismi di certificazione), di prepararsi in anticipo al futuro sistema di certificazione armonizzato della sicurezza. Nella road map del Regolamento, alla Commissione UE compete di pubblicare entro il 28 giugno 2020 un programma di lavoro di introduzione della suddetta certificazione sulla cibersicurezza, il quale dovrà essere oggetto di aggiornamento ogni tre anni. Il Programma individuerà le priorità strategiche per il futuro sistema uniforme di certificazione della cibersicurezza UE, in conformità agli obiettivi di sicurezza di cui al Regolamento (v. Tabella 3); esso includerà l’elenco dei prodotti, servizi e processi ITC (o delle relative categorie) che potranno beneficiare dell’applicazione del sistema europeo di certificazione della cibersicurezza, in considerazione della relativa domanda di mercato e degli sviluppi che si riscontreranno nel tempo, nel panorama delle minacce informatiche, cui potranno essere soggetti.

Il quadro di certificazione UE della cibersicurezza specificherà – per le diverse tipologie di prodotto, servizio e/o processi ITC – diversi livelli di affidabilità (il Regolamento prevede in particolare 1) la “certificazione di sicurezza di base”[6], 2) la “ certificazione di sicurezza sostanziale” e 3) la “certificazione di sicurezza elevata”) commisurati al diverso livello di rischio associato al loro utilizzo in termini di probabilità e impatto di un possibile incidente di sicurezza (v. TABELLA 3).

TABELLA 3 – CERTIFICAZIONE EUROPEA DI PRODOTTI, SERVIZI, PROCESSI DIGITALI: OBIETTIVI DI SICUREZZA E LIVELLI DI AFFIDABILITÀ

Come si evince dal Regolamento, i sistemi di certificazione della cibersicurezza sono progettati in funzione dei seguenti obiettivi di sicurezza:

  • protezione dei dati conservati trasmessi o trattati, rispetto a: operazioni di archiviazione/trattamento/accesso/divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto, servizio o processo ITC;
  • protezione di persone/ programmi e macchine: che devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono di diritti di accesso;
  • individuazione e documentazione di dipendenze e vulnerabilità note;
  • registrazione/verificabilità di dati, servizi o funzioni in relazione ai quali/alle quali siano effettuati accessi, in che misura, in quale momento e da chi;
  • verificabilità della mancanza di vulnerabilità note in prodotti, servizi o processi ITC; con possibile ripristino di disponibilità e accesso a dati, servizi e funzioni in modo tempestivo in caso di incidente fisico o tecnico;
  • sicurezza fin dalla progettazione e per impostazione predefinita di prodotti, servizi e processi ITC;
  • possibilità di aggiornamento di software e hardware dei prodotti, servizi e processi ITC; con la garanzia che gli stessi non contengano vulnerabilità pubblicamente note e dispongano di meccanismi per effettuare aggiornamenti protetti.

I livelli di affidabilità dei prodotti/servizi/processi ITC assoggettati alla certificazione europea di ciber sicurezza previsti dal Regolamento sono sostanzialmente 3 associati a 3 diversi livelli di rischiosità possibile per la sicurezza; in particolare:

  • affidabilità di base” = certificazione che assicura che il prodotto o servizio o processo sottoposto al relativo iter di certificazione soddisfa i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e che è stato valutato a un livello inteso a ridurre al minimo i rischi di base noti di incidenti e attacchi informatici;
  • affidabilità sostanziale= certificazione che assicura che il prodotto, servizio o processo sottoposto al relativo iter di certificazione soddisfa i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e che è stato valutato a un livello inteso a ridurre al minimo i rischi connessi alla cibersicurezza ed i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate;
  • “affidabilità elevata” = certificazione che assicura che il prodotto, servizio o processo sottoposto al relativo iter di certificazione soddisfa i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e che è stato valutato a un livello inteso a ridurre al minimo i rischi avanzati commessi da attori che dispongono di abilità e risorse significative.

In ogni caso, tutte le dichiarazioni di conformità rispondenti al quadro della sicurezza UE, saranno riconosciute come vincolanti in tutti gli SM, posto che i prodotti/servizi, processi ITC certificati in modo armonizzato e con ricorso a tale un sistema europeo di certificazione, saranno considerati automaticamente conformi quanto agli specifici standard di cibersicurezza. La certificazione della cibersicurezza UE resterà comunque volontaria, salvo diversamente specificato dal diritto dell’UE o degli SM.

La Commissione UE valuterà periodicamente (e con una prima valutazione al al 31.12.2023) l’efficacia e l’utilizzo del sistema europeo di certificazione adottato e l’eventuale necessità di renderla obbligatoria per specifici settori merceologici, maggiormente sensibili o rilevanti per il mercato interno dei prodotti, servizi o processi ITC; il tutto anche in considerazione delle evoluzioni tecnologiche dei software, degli hardware e dei sistemi digitali. Ancora, alla data del 28.6.2024 la Commissione UE valuterà (con relazione al PE ed al Consiglio UE) l’impatto, l’efficacia e l’efficienza dell’ENISA nelle sue prassi di lavoro; con esame dei requisiti essenziali di sicurezza che verranno specificati a livello armonizzato, in modo da impedire l’accesso al mercato interno di prodotti/servizi/processi TIC che non rispettino i requisiti di base in materia di cibersicurezza.

Tutto questo per arrivare a realizzare, a livello UE, un sistema di maggior controllo e garanzia per tutti gli operatori della rete e i loro dati, nelle operazioni digitali e nelle transazioni in rete (v. TABELLA 4).

TABELLA 4 – LE FINALITÀ GARANZIA PER OPERATORI E UTENTI DELLA RETE

Il certificato europeo di cibersicurezza e la dichiarazioni UE di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli. I prodotti, servizi e processi ITC che siano stati certificati o per i quali sia stata rilasciata una dichiarazione UE di conformità dovrebbero pertanto essere accompagnati da informazioni strutturate adeguate al livello tecnico atteso nell’utente finale previsto. Tutte queste informazioni dovrebbero essere disponibili online e, ove opportuno, in forma fisica. L’utente finale dovrebbe avere accesso alle informazioni relative al numero di riferimento del sistema di certificazione, al livello di affidabilità, alla descrizione dei rischi connessi alla ciber sicurezza associati al prodotto, servizio o processo ITC, e all’Autorità o Organismo che ha rilasciato il certificato, o dovrebbe poter ottenere una copia del certificato europeo di ciber sicurezza. Inoltre, l’utente finale dovrebbe essere informato della politica di assistenza in materia di cibersicurezza —ossia per quanto tempo l’utente finale può aspettarsi di ricevere aggiornamenti o patch per la cibersicurezza — del fabbricante o fornitore di prodotti, servizi e/o processi ITC. Se del caso, dovrebbero essere forniti orientamenti sulle azioni da compiere o sui parametri che l’utente finale può applicare per mantenere o aumentare la cibersicurezza del prodotto o del servizio ITC ed informazioni di contatto del punto di contatto unico a cui fare capo e da cui ricevere assistenza in caso di ciber attacchi (oltre alle segnalazioni automatiche). Tali informazioni dovrebbero essere aggiornate periodicamente e rese disponibili su un sito web che fornisca informazioni sul sistema europeo di certificazione della cibersicurezza” (cfr. Considerando 93 Reg.).

Note

[1] Dall’inglese, ENISA è acronimo di European Union Agency for Network and Information Security.

[2] Fonte: GUCE 7.6.2019 n. L151.

[3] Il Gruppo Europeo per la Certificazione di Sicurezza – ECCG è istituito dal Regolamento, come organo consultivo dell’ENISA e della Commissione UE, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e altri soggetti interessati. Ne fanno parte rappresentanti delle Autorità nazionali di certificazione della ciber sicurezza, in supporto alla Commissione UE ed all’ENISA per il programma di lavoro annuale e prospettico previsto dal Regolamento per il graduale passaggio al sistema UE di certificazione della sicurezza dei prodotti e servizi e processi digitali e in rete.

[4] Per approfondimenti sulla Strategia si rimanda alla GUCE 27.9.2019 – C 280.

[5] Per chiarezza espositiva, si riportano alcune definizioni rilevanti dell’Art. 2 del Regolamento: “cibersicurezza = insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e le persone interessate da minacce informatiche; “minaccia informatica”= qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone; “prodotto ITC”= elemento o gruppo di elementi di una rete o di un sistema informativo; “servizio ITC” = servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi; “processo ITC” = insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto o un servizio ITC; “sistema nazionale di certificazione della ciber -sicurezza” = serie completa di regole, requisiti tecnici, norme e procedure elaborati e adottati da un’Autorità pubblica nazionale e che si applicano alla certificazione o alla valutazione della conformità di prodotti, servizi o processi ITC che rientrano nell’ambito di applicazione del sistema specifico; “sistema europeo di certificazioni della cibersicurezza = serie completa di regole, requisiti tecnici, norme e procedure stabiliti a livello dell’Unione, che si applicano alla certificazione o alla valutazione di conformità di specifici prodotti, servizi o processi ITC; “certificato europeo di cibersicurezza = documento rilasciato dall’organismo pertinente che attesta che un determinato prodotto, servizio o processo ITC è stato oggetto di una valutazione di conformità con i requisiti di sicurezza specifici stabiliti da un sistema di certificazione europeo; livello di affidabilità= base per la fiducia nel fatto che un prodotto, servizio o processo ITC soddisfa i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cibersicurezza e indica il livello al quale un prodotto, un servizio o processo ITC è stato valutato, ma dì per sé non misura la sicurezza del prodotto, servizio o processo ITC interessato.

[6] Con specifico riferimento alla certificazione c.d. “di base” ossia associata a livelli rischiosità bassi, il Regolamento prevede che essa potrà consistere anche in una dichiarazione rilasciata direttamente e sotto la responsabilità del fabbricante o del fornitore del prodotto, servizio e/o processo ITC (c.d autovalutazione di conformità).

 

Articolo a cura di Giovanna Raffaella Stumpo

Profilo Autore

Giovanna Raffaella Stumpo, Avvocato del Foro di Milano, Giornalista pubblicista, collabora con primarie Case editrici e Quotidiani per l’attività redazione specialistica e per discipline strumentali all’esercizio della professione. Formatore accreditato, in collaborazione con Università, CNF, Consigli dell’Ordine, Scuole di formazione, Associazioni ed Enti per svolge con continuità attività di docenza e di progettazione di corsi nell’ambito della formazione e dell’aggiornamento professionale continuo. Auditor 231/2001 e Valutatore SGQ ISO 9001, è Consulente per il settore dei servizi alle imprese: nella progettazione e sviluppo di SGQ – Sistema Gestione Qualità ISO 9001, SGI – Sistemi Gestione Integrati (Privacy, Qualità, Ambiente e Sicurezza), MOG – Modello Organizzativo Gestionale ex Dl. 231/2001, Reti d’impresa e/o collaborative; nel coaching alle PMI per progetti con finanziamento europeo (www.giovannastumpo.it)

Condividi sui Social Network:

Ultimi Articoli