Cos’è il Cybersecurity Act, quali sono gli obiettivi e come si colloca nel quadro della normativa Ue in materia di cybersecurity. Tutto ciò che c’è da sapere sul Regolamento – pubblicato in GU il 7 giugno 2019!
La principale misura per rafforzare la sicurezza cibernetica nell’Unione Europea recentemente adottata consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act. Il Regolamento è stato pubblicato in Gazzetta Ufficiale il 7 giungo 2019 ed entrerà in vigore il 27 giugno 2019.
Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.
Il Cybersecurity Act si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.
Trattandosi di un Regolamento, una volta entrato in vigore, il Cybersecurity Act sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.
Fino ad oggi, il ruolo dell’ENISA è stato principalmente quello di assistere in termini tecnici gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi e a rafforzare la propria capacità di prevenire, rilevare e reagire agli incidenti informatici.
Il Cybersecurity Act intende rafforzare il ruolo dell’ENISA garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri.
Un altro punto chiave del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare lo scambio degli stessi all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei medesimi.
La costituzione di schemi di certificazione specifici per prodotti e sistemi ICT non è di per sé una novità. Infatti, numerosi schemi di questo tipo già esistono nella maggior parte degli Stati membri.
Tuttavia, molti degli schemi di certificazione esistenti non vengono riconosciuti all’estero, o almeno non in tutti gli Stati membri. Ciò obbliga le imprese ad espletare vari processi di certificazione per operare a livello transnazionale.
Ad esempio, la Commissione europea ha verificato come un fabbricante di contatori intelligenti (i cosiddetti “smart meter”) che intenda vendere i propri prodotti in Germania, Francia e Regno Unito debba farli certificare secondo tre schemi differenti. Si noti che, al momento, i costi di certificazione tendono ad essere piuttosto elevati per le imprese.
Il Cybersecurity Act intende ovviare ai problemi di cui sopra introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica.
È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione, da predisporsi per specifiche categorie di prodotti e servizi, comporterà che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in tutti gli Stati membri.
Cos’è il Cybersecurity Act, quali sono gli obiettivi e come si colloca nel quadro della normativa Ue in materia di cybersecurity. Tutto ciò che c’è da sapere sul Regolamento – pubblicato in GU il 7 giugno 2019!
La principale misura per rafforzare la sicurezza cibernetica nell’Unione Europea recentemente adottata consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act. Il Regolamento è stato pubblicato in Gazzetta Ufficiale il 7 giungo 2019 ed entrerà in vigore il 27 giugno 2019.
Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.
Il Cybersecurity Act si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’Enisa, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.
Trattandosi di un Regolamento, una volta entrato in vigore, il Cybersecurity Act sarà immediatamente applicabile in tutti gli Stati membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanta riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.
Fino ad oggi, il ruolo dell’ENISA è stato principalmente quello di assistere in termini tecnici gli Stati membri e le istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi e a rafforzare la propria capacità di prevenire, rilevare e reagire agli incidenti informatici.
Il Cybersecurity Act intende rafforzare il ruolo dell’ENISA garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri.
Un altro punto chiave del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare lo scambio degli stessi all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei medesimi.
La costituzione di schemi di certificazione specifici per prodotti e sistemi ICT non è di per sé una novità. Infatti, numerosi schemi di questo tipo già esistono nella maggior parte degli Stati membri.
Tuttavia, molti degli schemi di certificazione esistenti non vengono riconosciuti all’estero, o almeno non in tutti gli Stati membri. Ciò obbliga le imprese ad espletare vari processi di certificazione per operare a livello transnazionale.
Ad esempio, la Commissione europea ha verificato come un fabbricante di contatori intelligenti (i cosiddetti “smart meter”) che intenda vendere i propri prodotti in Germania, Francia e Regno Unito debba farli certificare secondo tre schemi differenti. Si noti che, al momento, i costi di certificazione tendono ad essere piuttosto elevati per le imprese.
Il Cybersecurity Act intende ovviare ai problemi di cui sopra introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica.
È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione, da predisporsi per specifiche categorie di prodotti e servizi, comporterà che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in tutti gli Stati membri.