Proteggere i cittadini dell’Unione europea dalle minacce alla cybersecurity, e permettere alle aziende del Mercato Unico Digitale (Digital Single Market) della UE di diventare più competitive sul mercato mondiale. Si possono riassumere così gli obiettivi strategici dell’EU Cybersecurity Act, entrato in vigore nell’Unione Europea lo scorso 27 giugno.
Un esempio dell’accresciuta consapevolezza della necessità di adottare una politica comune contro le minacce informatiche provenienti sia dall’interno dell’Unione, ma anche da altri paesi del mondo, si era avuto nel 2016 con il varo della Direttiva (UE) 2016/1148 (nota come Direttiva NIS, recante misure per un livello comune elevato di sicurezza dei network e dei sistemi informativi nell’Unione, con particolare riferimento a quelli delle infrastrutture critiche e dei sistemi digitali essenziali, quali i motori di ricerca, i fornitori di cloud computing e i mercati online).
L’entrata in vigore dell’EU Cybersecurity Act rappresenta un ulteriore passo fondamentale, in quanto introduce l’obiettivo di aumentare la sicurezza dei cittadini e delle aziende della Ue (con un occhio di riguardo a PMI e start up) attraverso sistemi di certificazione europei sulla cibersicurezza dei “prodotti, servizi e processi” ICT.
Un’incursione nel mercato dell’EU Cybersecurity Act
A differenza della Direttiva NIS, ancora in fase di effettiva attuazione negli Stati Membri, l’EU Cybersecurity Act non si limita a imporre l’adozione di misure più efficaci di controllo e di ottimizzazione dello stato di protezione di asset vitali per la società e per le aziende, ma entra a gamba tesa nel mercato dei prodotti e dei servizi digitali che, come sottolineano gli estensori del regolamento, sono sempre più pervasivi nelle attività quotidiane. E lo saranno ancora di più in futuro con l’Internet delle cose (IoT). Di qui la necessità di garantire che sia i consumatori, sia le aziende, sia le amministrazioni pubbliche possano “aumentare la loro fiducia” nei confronti dei prodotti, dei servizi e dei processi ICT che acquistano e utilizzano. E questo il più possibile senza doversi preoccupare di volta in volta di acquisire competenze tecniche sufficiente per comprendere appurare personalmente qual è i livello di rischio insito nei prodotti. Un obiettivo, questo, che non esclude un’altra delle finalità dell’EU Cybersecurity Act: promuovere un innalzamento della consapevolezza e dell’alfabetizzazione sulla cibersicurezza degli utenti.
Il primo passo per rafforzare la cybersecurity nell’Unione, e addirittura la sua “ciber-resilienza”, è stato considerato dal Parlamento e dal Consiglio Europeo quello di fissare un regolamento che rappresenti una cornice e una base per il futuro sviluppo di sistemi di certificazione sulla cibersicurezza di prodotti, servizi e processi ICT da definire tenendo conto delle esigenze degli specifici settori di sviluppo e di uso di essi.
I regolatori sono consapevoli che tali settori sono molti, e ancora di più i prodotti o i processi già esistenti o che nasceranno in futuro. Ciononostante ritengono che sia possibile, attraverso il rafforzamento sostanziale dell’ENISA (European Union Agency for Cyber security, il cui mandato è stato reso permanente), il suo affiancamento da parte di un European Cybersecurity Certification Group (ECCG) e della Commissione europea, arrivare a un efficace, granulare e dinamico sistema di certificazioni sulla cibersicurezza che superi la frammentazione attuale a livelli di Stati membri, e sia in grado di proteggere i cittadini, i consumatori e le aziende dell’Unione dalle minacce informatiche sempre più incombenti in un contesto globale quale quello attuale, caratterizzato da instabilità economica e tensioni geopolitiche.
Certificazioni legate al rischio
I sistemi di certificazione sulla cibersicurezza saranno proposti, su richiesta dell’ECCG, dall’ENISA, in quanto ente con le risorse e le competenze in grado di analizzare a fondo le problematiche di cibersicurezza emergenti, anche grazie a un rapporto continuativo con il Computer Emergency Response Team -EU, o CERT-UE, e i Computer Security Incident Response Team, o CSIRT, nazionali, nonché università, associazioni di portatori di interessi e organismi di sicurezza e militari. In buona parte dei casi, secondo il regolamento, l’adozione delle certificazioni sarà su base volontaria, fatti salvi i prodotti, servizi e processi ICT da acquisire nell’ambito di gare pubbliche. In funzione dei diversi tipi di rischio insiti nei prodotti, servizi e processi, distinti in tre livelli: “di base”, “sostanziale” e “elevato”, e della complessità della progettazione, inoltre, sarà possibile prevedere tipologie di prodotti per i quali i fabbricanti o fornitori non saranno tenuti a ottenere certificazioni erogate da enti terzi, ma a esibire un’“autovalutazione della conformità”.
Il regolamento prevede che l’ENISA dovrebbe creare un sito web nel quale sono pubblicate le richieste di proposta di sistemi di certificazione da parte dell’ECCG e informazioni sui certificati e le autovalutazioni di conformità rilasciati, al fine di permettere a cittadini, consumatori e aziende di compiere “scelte consapevoli”.
Rapporti con Stati membri UE e paesi terzi
Il regolamento sottolinea come, finora, il panorama delle certificazioni sulla cibersicurezza di prodotti, servizi e processi ICT nell’Unione sia stato carente e, in alcuni casi, lasciato alla buona volontà dei singoli Stati membri. Afferma, altresì, come l’adozione di un approccio sovranazionale permetterebbe di giungere a certificazioni più efficaci in un’ottica di maggiore cibersicurezza e ciberresilienza dell’Unione di fronte alle minacce globali. Ritiene, tuttavia, che le certificazioni nazionali attuali potrebbero essere messe a confronto da esperti delle diverse autorità di certificazione nazionali (valutazione “inter pares”) per mettere a fattor comune le buone pratiche, arrivare a un superamento di alcune certificazioni nazionali o, al contrario, alla loro estensione a livello europeo.
Pur avendo, fra i suoi obiettivi, anche quello di diminuire la dipendenza dei consumatori e delle aziende dell’Unione da prodotti, servizi e processi sia ICT sia di cibersicurezza provenienti da altre regioni del mondo, gli autori dell’EU Cyber security Act riconoscono come oggi le filiere di fornitura di tali beni e servizi non possono non essere in molti casi che globali. Quindi, una parte del regolamento tratta anche del tema delle collaborazioni che, a partire dall’ENISA per arrivare anche ad altri organismi dell’Unione e degli Stati membri, vanno mantenute o instaurate con enti di Stati terzi.
Un tema questi, concludiamo noi, di grande attualità di fronte a eventi come una possibile uscita del Regno Unito dalla UE (la famosa Brexit), la tendenza alla conflittualità geopolitica ed economica (vedi quella fra Usa e Cina), ma anche l’emergere di nuovi paradigmi IT come il 5G, che dovrebbero avere uno sviluppo armonico a livello globale. Anche sul fronte della cibersicurezza.
