CyberSecurity Act
Facciamo prima di tutto un po’ di chiarezza sull'argomento, che cos'è il Cybersecurity Act?
About ENISA
L'ENISA contribuisce attivamente alla politica europea in materia di Cyber Sicurezza, sostenendo gli Stati membri e le parti interessate a sostenere una risposta agli incidenti informatici su vasta scala.
Tra i nuovi compiti che il "nuovo ENISA" dovrà svolgere:
- fornire un maggiore livello di supporto alla Commissione e agli Stati membri nello sviluppo e nell'attuazione delle politiche di sicurezza e nella costruzione di capacità operative;
- fornire attività di cooperazione operativa, ad esempio nel quadro dell'attuazione della direttiva NIS (per la quale l'ENISA fornisce già il segretariato della rete europea CSIRT);
- diventare l'InfoHub di riferimento sulle minacce avanzate e data breach per l'intera comunità europea della sicurezza, comprese le istituzioni dell'UE e altre agenzie.
Oltre a una costante informazione, risultano poi essere necessari un monitoraggio continuo e la gestione delle minacce avanzate per prevenire le violazioni e migliorarne rilevamento e risposta, ed avere internamente o in outsourcing un team di esperti che si attestano nel mondo del cyber crime in continua evoluzione, disponibili in qualsiasi momento.
Dal 2019, in seguito all'entrata in vigore della legge sulla cyber sicurezza (regolamento 2019/881), l'ENISA è stata incaricata di preparare gli "schemi europei di certificazione della cyber sicurezza" che fungono da base per la certificazione di prodotti, processi e servizi a supporto della consegna del mercato unico digitale.
Sicurezza e normative in Europa
Direttiva Polizia |
La Direttiva 2016/680 mira a garantire lo scambio dei dati personali tra le autorità all’interno dell’UE |
Direttiva NIS |
La Direttiva «Network e Information Security» (n. 2016/1148) persegue l’obbiettivo primario di stabilire misure atte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi, rafforzando la cooperazione a livello locale e in ambito UE |
Regolamento eIDAS |
Il Regolamento europeo per l’ identificazione elettronica e sevizi fiduciari per le transazioni elettroniche nel mercato interno (n. 2014/910), ha lo scopo di disciplinare la firma elettronica, i trasferimenti di denaro e altri tipi di transazione nel mercato unico europeo |
Direttiva PSD2 |
La Direttiva 1025/2366 è volta a delineare regole sulla trasparenza delle condizioni e sui requisiti informativi dei servizi di pagamento e parallelamente a definire diritti e obblighi di utenti e prestatori. |
Regolamento sui dati non personali |
Il regolamento 2017/1807 ha lo scopo di rimuovere gli impedimenti alla circolazione di dati non personali |
Cybersecurity Act |
Il regolamento 2019/881 mira a rafforzare la posizione dell’ENISA e introdurre un sistema europeo di certificazione della sicurezza informativa dei prodotti e dei servizi digitali |
Il Cybersecurity Act è una proposta di Regolamento, quindi per definizione viene applicato a tutti gli Stati membri dell’UE, senza che legislatori nazionali debbano intervenire.
A precederlo sono stati altri strumenti normativi quali la già citata direttiva NIS, la strategia per la sicurezza cibernetica dell’Europa ed ovviamente il GDPR.
Il primo programma sarà pubblicato entro e non oltre 12 mesi dall'entrata in vigore del regolamento, forse all'inizio del 2020.
Effetti sul mercato
Le aziende italiane possono utilizzare le proprie certificazioni nazionali per ottenere uno dei tre livelli di affidabilità: base, sostanziale o elevato (solo il base può essere ottenuto per autocertificazione), che corrispondono al grado di resistenza ad attacchi di sicurezza informatica.
Questo fattore può comportare un vantaggio competitivo nel confronto con i competitor e una variabile utile alla scelta ottimale dei propri partner. Inoltre, un prodotto certificato in Italia non è detto che lo sia in Francia. Una certificazione valida su tutto il territorio europeo permette di risparmiare su certificazioni internazionali e allargare il proprio giro d’affari, nonché favorire l'internazionalizzazione delle PMI.
Conclusioni
Va da sé che, visti i preoccupanti dati del Clusit di quest’anno (il numero di attacchi gravi alla sicurezza informatica in Italia è quasi raddoppiato nel corso di soli 4 anni), tutta la Supply Chain a livello europeo ne guadagnerà notevolmente in termini di resilienza cibernetica.
Inoltre, l’UE è così in grado di applicare delle barriere che non siano solamente tariffarie, all'ingresso di attori extra-UE e favorire il mercato interno.