Già approvato lo scorso 12 Marzo dal Parlamento Europeo, è stato pubblicato il 7 Giugno sulla Gazzetta Ufficiale dell’Unione, il Cybersecurity Act e, dal prossimo 27 Giugno entrerà in vigore. Si tratta di un provvedimento il cui scopo è quello di rafforzare e uniformare i sistemi di sicurezza agli attacchi informatici e la resilienza agli stessi nonché, come espressamente sancito dal legislatore comunitario, per perseguire un più elevato livello di fiducia a livello informatico. Questo provvedimento si affianca non solo alla Direttiva NIS, recepita in Italia dal D. Lgs. 65/18, ma anche al GDPR nella strategia comunitaria di elevare il livello non solo di sicurezza a livello informatico e nella protezione degli interessati e dei loro dati personali, ma anche nella creazione di una consapevolezza complessiva di questa attività che è oggetto di scarsa attenzione.

Il Cybersecurity Act, formato da 110 premesse e 69 articoli, ha una prima parte nella quale viene disciplinato il ruolo dell’ENISA (European Network and Information Security Agency), di cui viene rafforzato il mandato, mentre nella seconda viene indicato il sistema che l’Europa ha scelto per la certificazione della sicurezza informatica dei dispositivi connessi a Internet. Un provvedimento che va a incidere su tutte le aziende che operano nel settore dell’IoT.

Metodi di certificazione per prodotti ICT non sono certo una novità in Europa: Francia, Regno Unito, Olanda ne hanno già adottati di diverse forme; in Italia è compito svolto dall’Iscom, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, presso il MISE. Il limite di queste certificazioni a livello nazionale è la mancanza di riconoscimento a livello europeo, con aumento di costi per aziende che debbano certificare i loro prodotti in più Stati membri. Di ciò il Parlamento Europeo ha preso atto al punto che, all’art. 1 Lett. B dell’Act, si prevede come questo stabilisca “un quadro per l’introduzione di sistemi europei di certificazione della cibersicurezza al fine di garantire un livello adeguato di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC nell’Unione, oltre che al fine di evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cibersicurezza nell’Unione.”

Di fondamentale importanza è l’articolo 48 dell’Act, che istituisce il “quadro europeo di certificazione della cybersicurezza”, vale a dire la creazione di meccanismi europei per la sua certificazione che armonizzino le normative nazionali. Il fine, come prosegue l’articolo, è quello di giungere ad un sistema di attestazione per i prodotti, servizi e processi nei settori ICT che sia conforme e garantisca autenticità, integrità e sicurezza sia dei dati, sia dei prodotti e delle funzioni.

Saranno ora istituiti i tavoli di lavoro per portare a termine questa attività, da parte di Enisa e della Commissione per raggiungere gli obiettivi e i livelli di sicurezza di cui ai successivi articoli da 51 a 53, che si riportano per una migliore comprensione, ma che lasciano spazio anche ad una autocertificazione. Insomma un sistema di “security by design” che tende anche alla responsabilizzazione di aziende e produttori.

• Articolo 51
  Obiettivi di sicurezza dei sistemi europei di certificazione della cibersicurezza
  I sistemi europei di certificazione della cibersicurezza sono progettati per conseguire, se del caso, almeno i seguenti obiettivi di sicurezza:
  a) proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC;
  b) proteggere i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC;
  c) le persone, i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso;
  d) individuare e documentare le dipendenze e vulnerabilità note;
  e) registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
  f) fare in modo che si possa verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
  g) verificare che i prodotti TIC, i servizi TIC e i processi TIC non contengano vulnerabilità note;
  h) ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico;
  i) i prodotti TIC, i servizi TIC e i processi TIC devono essere sicuri fin dalla progettazione e per impostazione predefinita;
  j) il software e l’hardware dei prodotti TIC, dei servizi TIC e dei processi TIC devono essere aggiornati, non contenere vulnerabilità pubblicamente note e devono disporre di meccanismi per effettuare aggiornamenti protetti.
  
  
• Articolo 52
  Livelli di affidabilità dei sistemi europei di certificazione della cibersicurezza
  1. I sistemi europei di certificazione della cibersicurezza possono specificare per i prodotti TIC, i servizi TIC e i processi TIC uno o più dei seguenti livelli di affidabilità: «di base», «sostanziale» o «elevato». Il livello di affidabilità è commisurato al livello del rischio associato al previsto uso del prodotto TIC, servizio TIC o processo TIC, in termini di probabilità e impatto di un incidente.
  2. I certificati europei di cibersicurezza e le dichiarazioni UE di conformità si riferiscono a qualsiasi livello di affidabilità specificato nel sistema europeo di certificazione della cibersicurezza nell’ambito del quale si rilascia il certificato europeo di cibersicurezza o la dichiarazione UE di conformità.
  3. I requisiti di sicurezza corrispondenti a ogni livello di affidabilità sono indicati nel sistema europeo di certificazione della cibersicurezza pertinente, comprese le corrispondenti funzionalità di sicurezza e il rigore e la specificità corrispondenti della valutazione a cui deve essere sottoposto il prodotto TIC, servizio TIC o processo TIC.
  4. Il certificato o la dichiarazione UE di conformità si riferiscono a specifiche tecniche, norme e procedure ad esso connesse, tra cui i controlli tecnici, il cui obiettivo è ridurre il rischio di incidenti di cibersicurezza, o prevenirli
  5. Un certificato europeo di cibersicurezza o una dichiarazione UE di conformità che si riferisca al livello di affidabilità «di base» assicura che i prodotti TIC, i servizi TIC e i processi TIC per i quali sono rilasciati tale certificato o tale dichiarazione UE di conformità rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi di base noti di incidenti e attacchi informatici. Le attività di valutazione da intraprendere comprendono almeno un riesame della documentazione tecnica. Qualora tale riesame non sia appropriato, si ricorre ad attività di valutazione sostitutive di effetto equivalente.
  6. Un certificato europeo di cibersicurezza che si riferisca al livello di affidabilità «sostanziale» assicura che i prodotti TIC, servizi TIC e processi TIC per i quali è rilasciato tale certificato rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi alla cibersicurezza e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate. Le attività di valutazione da intraprendere comprendono almeno le seguenti: un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note e un test per dimostrare che i prodotti TIC, i servizi TIC o i processi TIC attuano correttamente le necessarie funzionalità di sicurezza. Qualora tali attività di valutazione non siano appropriate, si ricorre ad attività di valutazione sostitutive di effetto equivalente.
  7. Un certificato europeo di cibersicurezza che si riferisca al livello di affidabilità «elevato» assicura che i prodotti TIC, i servizi TIC e i processi TIC per i quali è rilasciato tale certificato rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative. Le attività di valutazione da intraprendere comprendono almeno le seguenti: un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note, un test per dimostrare che i prodotti TIC, i servizi TIC o i processi TIC attuano correttamente le necessarie funzionalità di sicurezza, allo stato tecnologico più avanzato, e una valutazione della loro resistenza agli attacchi commessi da soggetti qualificati mediante test di penetrazione. Qualora tali attività di valutazione non siano appropriate, si ricorre ad attività sostitutive di effetto equivalente.
  8. I sistemi europei di certificazione della cibersicurezza possono precisare vari livelli di valutazione in funzione del rigore e della specificità della metodologia di valutazione utilizzata. Ciascun livello di valutazione corrisponde a uno dei livelli di affidabilità ed è definito da un’idonea combinazione di componenti dell’affidabilità.
  
  
• Articolo 53
  Autovalutazione della conformità
  1. Un sistema europeo di certificazione della cibersicurezza può consentire un’autovalutazione della conformità sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC. Tale autovalutazione della conformità è consentita unicamente in relazione ai prodotti TIC, servizi TIC e processi TIC che presentano un basso rischio corrispondenti al livello di affidabilità «di base».
  2. Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC può rilasciare una dichiarazione UE di conformità in cui afferma che è stato dimostrato il rispetto dei requisiti previsti nel sistema. Rilasciando tale dichiarazione, il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC si assume la responsabilità della conformità del prodotto TIC, servizio TIC o processo TIC ai requisiti previsti in tale sistema.
  3. Il fabbricante o fornitore di prodotti TIC, servizi TIC o processi TIC rende disponibile all’autorità nazionale di certificazione della cibersicurezza di cui all’articolo 58, per il periodo stabilito nel corrispondente sistema europeo di certificazione della cibersicurezza, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC o servizi TIC al sistema. Una copia della dichiarazione UE di conformità è trasmessa all’autorità nazionale di certificazione della cibersicurezza e all’ENISA.
  4. Il rilascio di una dichiarazione UE di conformità è volontario, salvo diversamente specificato nel diritto dell’Unione o degli Stati membri.
  5. Le dichiarazioni UE di conformità sono riconosciute in tutti gli Stati membri.