Dal giugno scorso è in vigore a livello sovranazionale il Regolamento del Parlamento Europeo (PE) e del Consiglio 17.4.2019 (UE) 2019/881 (relativo all’ENISA[1] – Agenzia UE per la sicurezza informatica e alla certificazione di sicurezza applicabile alle tecnologie dell’informazione e della comunicazione[2] – anche solo “il Regolamento”) abrogativo del precedente Regolamento del PE e Consiglio 21.5.2013 (UE) 2013/526, che concerne le attività necessarie a proteggere le reti e i sistemi informativi che tutti noi utilizziamo in tutti i campi nel quotidiano, oltrechè a proteggere noi stessi e altri utenti di tali sistemi da potenziali minacce informatiche, mediante la previsione di un “sistema di certificazione europeo” armonizzato della cibersicurezza (i.e. quadro europeo di certificazione della cibersicurezza).
Più in particolare, il Regolamento, per garantire il buon funzionamento di prodotti, servizi e processi ITC con elevati livelli di cibersicurezza, ciber-resilienza e fiducia interna nel mercato UE, meglio definisce funzioni, compiti e aspetti organizzativi dell’ENISA e al contempo declina il quadro europeo del“sistema di certificazione UE” dei predetti servizi, processi e prodotti ITC UE, sulla base di una specifica road map; che, con il coinvolgimento attivo della Commissione UE supportata da uno specifico gruppo di lavoro dedicato (i.e. ECCG[3] – Gruppo Europeo per la Certificazione di Sicurezza) porterà a un sistema di certificazione armonizzato e vincolante quanto alla cibersicurezza digitale dell’Unione, con sostituzione degli analoghi sistemi di certificazione esistenti, in ambito nazionale. Ciò in quanto: “le reti e i sistemi informativi, le reti ed i servizi di comunicazione elettronica svolgono un ruolo essenziale nella società e sono diventati i pilastri della crescita economica. Le tecnologie dell’informazione e della comunicazione (ITC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali, la Sanità’, l’Energia, la Finanza, i Trasporti e in particolare contribuiscono al funzionamento del mercato interno” (cfr. Considerando 1 Reg.). In tale contesto “la certificazione della cibersicurezza riveste un ruolo importante nel rafforzare la sicurezza di prodotti, servizi e processi ITC e nell’accrescere la fiducia negli stessi. Il mercato unico digitale, in particolare l’economia dei dati e l’Internet degli oggetti, possono prosperare solo se i cittadini sono convinti che tali prodotti, servizi e processi offrono un determinato livello di ciber sicurezza. Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione è già ampiamente utilizzata o sarà probabilmente utilizzata in un prossimo futuro”(cfr. Considerando 65 Reg.).
Sono quindi tre i macro-obiettivi, tra loro collegati, perseguiti dal Regolamento:
1) creare un quadro europeo ben definito sulla sicurezza informatica di prodotti ITC e servizi digitali;
2) rendere più solido il ruolo dell’ENISA in tale ambito;
3) imprimere maggiore fiducia nei consumatori che guardano al mercato digitale con il sistema di certificazione della cibersicurezza (si stima che il mercato europeo della sicurezza informatica valga 130 miliardi di euro, con una crescita annua del 17%).
Integrando il disposto normativo UE esistente sulle misure di protezione in ambito informatico e digitale (v. TABELLA 1), il Regolamento persegue alti livelli di sicurezza nelle operazioni e nelle transazioni UE a mezzo dell’ITC e detta le regole per attenuare rischi e vulnerabilità informatiche intra UE (in particolare a livello transfrontaliero) per aumentare l’approccio preventivo-contenitivo di rischi e attacchi cui posso essere soggetti gli utenti delle reti informatiche, siano essi individui, organizzazioni, aziende (ivi comprese PMI e start up), PA, o parte della catena della fornitura.
TABELLA 1- PRINCIPALI FONTI UE RILEVANTI IN MATERIA DI SICUREZZA INFORMATICA DELLE RETI |
|
Con la previsione di un sistema centralizzato di certificazione della cibersicurezza europeo che rafforzi il quadro informativo delle caratteristiche tipiche di prodotti, servizi e processi ITC assoggettati a tale iter di valutazione, il Regolamento intende in particolare favorire il ricorso a processi di c.d. alfabetizzazione/igiene informatica nell’uso della rete; per tali intendendosi semplici misure di routine che se attuate e svolte dagli utenti, sono in grado di ridurre al minimo la loro esposizione a rischi da minacce informatiche. Al contempo, il Regolamento utilizza la certificazione in materia di cybersecurity come strumento utile ad aumentare la fiducia degli operatori di mercato per le transazioni on line, con il ricorso a prodotti, servizi e processi assoggettati a un sistema uniforme e centralizzato di attestazione della cibersicurezza [5], nella convinzione che “i certificati europei di cibersicurezza e le dichiarazioni UE di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli” (cfr. Considerando 93 Reg.).
Conseguentemente, il Regolamento promuove programmi di cooperazione UE – Stati Membri (SM) e anche dell’UE con Organizzazioni internazionali e Paesi terzi, per gestire le minacce informatiche – oggi problema globale – e definisce in modo ampio il mandato in capo all’ ENISA, quale principale Ente deputato allo sviluppo e all’attuazione delle politiche e normative europee in materia di sicurezza informatica (v. TABELLA 2), assegnando all’Agenzia competente compiti di supporto alla Commissione UE e propulsivi quanto al quadro europeo di certificazione della cibersicurezza.
TABELLA 2- COMPETENZE DELL’ENISA – AGENZIA EUROPEA PER LA CYBER SICUREZZA (QUADRO DI SINTESI) |
Per previsione del Regolamento, l’ENISA “svolge i compiti che le sono attribuiti allo scopo di conseguire un elevato livello comune di cibersicurezza in tutta l’Unione, anche sostenendo attivamente gli SM, le istituzioni, gli Organi e gli Organismi UE nel miglioramento della ciber sicurezza”.In particolare, secondo le previsioni programmatiche del Regolamento l’Agenzia:
Quanto specificatamente alla certificazione UE della cibersicurezza, l’Agenzia:
|
In ogni caso, la governance del quadro europeo di certificazione della ciber sicurezza terrà conto della partecipazione degli SM e dell’adeguato coinvolgimento dei portatori di interesse; con un focus mirato sulla Commissione UE durante l’intero processo di pianificazione e di proposta, richiesta, preparazione, adozione e revisione dei vigenti sistemi di certificazione nazionali sulla sicurezza informatica.
Per rendere possibile un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza, il Regolamento prelude a un meccanismo di certificazione uniforme attestante che i prodotti, servizi e processi ITC valutati nel loro ambito e per le loro specifiche funzionalità, sono conformi a determinati requisiti di sicurezza predefiniti a livello UE, sia quanto alla loro disponibilità, autenticità, integrità, sia quanto alla riservatezza dei dati da essi conservati, trasmessi o trattati, per tutto il loro ciclo di vita.
Nel quadro previsionale del Regolamento, compete in particolare alla Commissione UE con il supporto dell’ENISA di elaborare un documento strategico atto a consentire al settore, alle autorità nazionali e agli organismi di normazione tecnica in particolare (i.e. gli Organismi di certificazione), di prepararsi in anticipo al futuro sistema di certificazione armonizzato della sicurezza. Nella road map del Regolamento, alla Commissione UE compete di pubblicare entro il 28 giugno 2020 un programma di lavoro di introduzione della suddetta certificazione sulla cibersicurezza, il quale dovrà essere oggetto di aggiornamento ogni tre anni. Il Programma individuerà le priorità strategiche per il futuro sistema uniforme di certificazione della cibersicurezza UE, in conformità agli obiettivi di sicurezza di cui al Regolamento (v. Tabella 3); esso includerà l’elenco dei prodotti, servizi e processi ITC (o delle relative categorie) che potranno beneficiare dell’applicazione del sistema europeo di certificazione della cibersicurezza, in considerazione della relativa domanda di mercato e degli sviluppi che si riscontreranno nel tempo, nel panorama delle minacce informatiche, cui potranno essere soggetti.
Il quadro di certificazione UE della cibersicurezza specificherà – per le diverse tipologie di prodotto, servizio e/o processi ITC – diversi livelli di affidabilità (il Regolamento prevede in particolare 1) la “certificazione di sicurezza di base”[6], 2) la “ certificazione di sicurezza sostanziale” e 3) la “certificazione di sicurezza elevata”) commisurati al diverso livello di rischio associato al loro utilizzo in termini di probabilità e impatto di un possibile incidente di sicurezza (v. TABELLA 3).
TABELLA 3 – CERTIFICAZIONE EUROPEA DI PRODOTTI, SERVIZI, PROCESSI DIGITALI: OBIETTIVI DI SICUREZZA E LIVELLI DI AFFIDABILITÀ |
Come si evince dal Regolamento, i sistemi di certificazione della cibersicurezza sono progettati in funzione dei seguenti obiettivi di sicurezza:
I livelli di affidabilità dei prodotti/servizi/processi ITC assoggettati alla certificazione europea di ciber sicurezza previsti dal Regolamento sono sostanzialmente 3 associati a 3 diversi livelli di rischiosità possibile per la sicurezza; in particolare:
|
In ogni caso, tutte le dichiarazioni di conformità rispondenti al quadro della sicurezza UE, saranno riconosciute come vincolanti in tutti gli SM, posto che i prodotti/servizi, processi ITC certificati in modo armonizzato e con ricorso a tale un sistema europeo di certificazione, saranno considerati automaticamente conformi quanto agli specifici standard di cibersicurezza. La certificazione della cibersicurezza UE resterà comunque volontaria, salvo diversamente specificato dal diritto dell’UE o degli SM.
La Commissione UE valuterà periodicamente (e con una prima valutazione al al 31.12.2023) l’efficacia e l’utilizzo del sistema europeo di certificazione adottato e l’eventuale necessità di renderla obbligatoria per specifici settori merceologici, maggiormente sensibili o rilevanti per il mercato interno dei prodotti, servizi o processi ITC; il tutto anche in considerazione delle evoluzioni tecnologiche dei software, degli hardware e dei sistemi digitali. Ancora, alla data del 28.6.2024 la Commissione UE valuterà (con relazione al PE ed al Consiglio UE) l’impatto, l’efficacia e l’efficienza dell’ENISA nelle sue prassi di lavoro; con esame dei requisiti essenziali di sicurezza che verranno specificati a livello armonizzato, in modo da impedire l’accesso al mercato interno di prodotti/servizi/processi TIC che non rispettino i requisiti di base in materia di cibersicurezza.
Tutto questo per arrivare a realizzare, a livello UE, un sistema di maggior controllo e garanzia per tutti gli operatori della rete e i loro dati, nelle operazioni digitali e nelle transazioni in rete (v. TABELLA 4).
TABELLA 4 – LE FINALITÀ GARANZIA PER OPERATORI E UTENTI DELLA RETE |
“Il certificato europeo di cibersicurezza e la dichiarazioni UE di conformità dovrebbero aiutare gli utenti finali a compiere scelte consapevoli. I prodotti, servizi e processi ITC che siano stati certificati o per i quali sia stata rilasciata una dichiarazione UE di conformità dovrebbero pertanto essere accompagnati da informazioni strutturate adeguate al livello tecnico atteso nell’utente finale previsto. Tutte queste informazioni dovrebbero essere disponibili online e, ove opportuno, in forma fisica. L’utente finale dovrebbe avere accesso alle informazioni relative al numero di riferimento del sistema di certificazione, al livello di affidabilità, alla descrizione dei rischi connessi alla ciber sicurezza associati al prodotto, servizio o processo ITC, e all’Autorità o Organismo che ha rilasciato il certificato, o dovrebbe poter ottenere una copia del certificato europeo di ciber sicurezza. Inoltre, l’utente finale dovrebbe essere informato della politica di assistenza in materia di cibersicurezza —ossia per quanto tempo l’utente finale può aspettarsi di ricevere aggiornamenti o patch per la cibersicurezza — del fabbricante o fornitore di prodotti, servizi e/o processi ITC. Se del caso, dovrebbero essere forniti orientamenti sulle azioni da compiere o sui parametri che l’utente finale può applicare per mantenere o aumentare la cibersicurezza del prodotto o del servizio ITC ed informazioni di contatto del punto di contatto unico a cui fare capo e da cui ricevere assistenza in caso di ciber attacchi (oltre alle segnalazioni automatiche). Tali informazioni dovrebbero essere aggiornate periodicamente e rese disponibili su un sito web che fornisca informazioni sul sistema europeo di certificazione della cibersicurezza” (cfr. Considerando 93 Reg.). |
[1] Dall’inglese, ENISA è acronimo di European Union Agency for Network and Information Security.
[2] Fonte: GUCE 7.6.2019 n. L151.
[3] Il Gruppo Europeo per la Certificazione di Sicurezza – ECCG è istituito dal Regolamento, come organo consultivo dell’ENISA e della Commissione UE, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e altri soggetti interessati. Ne fanno parte rappresentanti delle Autorità nazionali di certificazione della ciber sicurezza, in supporto alla Commissione UE ed all’ENISA per il programma di lavoro annuale e prospettico previsto dal Regolamento per il graduale passaggio al sistema UE di certificazione della sicurezza dei prodotti e servizi e processi digitali e in rete.
[4] Per approfondimenti sulla Strategia si rimanda alla GUCE 27.9.2019 – C 280.
[5] Per chiarezza espositiva, si riportano alcune definizioni rilevanti dell’Art. 2 del Regolamento: “cibersicurezza” = insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e le persone interessate da minacce informatiche; “minaccia informatica”= qualsiasi circostanza, evento o azione che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi, sugli utenti di tali sistemi e altre persone; “prodotto ITC”= elemento o gruppo di elementi di una rete o di un sistema informativo; “servizio ITC” = servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi; “processo ITC” = insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto o un servizio ITC; “sistema nazionale di certificazione della ciber -sicurezza” = serie completa di regole, requisiti tecnici, norme e procedure elaborati e adottati da un’Autorità pubblica nazionale e che si applicano alla certificazione o alla valutazione della conformità di prodotti, servizi o processi ITC che rientrano nell’ambito di applicazione del sistema specifico; “sistema europeo di certificazioni della cibersicurezza” = serie completa di regole, requisiti tecnici, norme e procedure stabiliti a livello dell’Unione, che si applicano alla certificazione o alla valutazione di conformità di specifici prodotti, servizi o processi ITC; “certificato europeo di cibersicurezza” = documento rilasciato dall’organismo pertinente che attesta che un determinato prodotto, servizio o processo ITC è stato oggetto di una valutazione di conformità con i requisiti di sicurezza specifici stabiliti da un sistema di certificazione europeo; “livello di affidabilità” = base per la fiducia nel fatto che un prodotto, servizio o processo ITC soddisfa i requisiti di sicurezza di uno specifico sistema europeo di certificazione della cibersicurezza e indica il livello al quale un prodotto, un servizio o processo ITC è stato valutato, ma dì per sé non misura la sicurezza del prodotto, servizio o processo ITC interessato.
[6] Con specifico riferimento alla certificazione c.d. “di base” ossia associata a livelli rischiosità bassi, il Regolamento prevede che essa potrà consistere anche in una dichiarazione rilasciata direttamente e sotto la responsabilità del fabbricante o del fornitore del prodotto, servizio e/o processo ITC (c.d autovalutazione di conformità).
Articolo a cura di Giovanna Raffaella Stumpo
L'Unione Europea si trova nel mezzo di una trasformazione normativa senza precedenti con eIDAS 2,…
Al 22° Forum ICT Security, Igor Serraino – Independent ICT Advisor – ha trattato argomenti…
Il Federated Learning (FL) si configura come un paradigma emergente e altamente promettente nell'ambito dell'apprendimento…
Nel corso del Forum ICT Security 2024, l’intervento “Test di sicurezza avanzati: La sicurezza va…
L’intervento di Valerio Pastore, cofondatore di Cyber Grant, intitolato “Allarme Data Breach: 7 attacchi su…
L'evoluzione dell'Internet of Things (IoT) ha portato alla luce un fenomeno emergente nel panorama del…