Cybersecurity: nuova certificazione e più forza all’Agenzia per la sicurezza informatica dell’Unione europea

in SICUREZZA by

Alla luce dei mutamenti significativi che si sono verificati nel settore della sicurezza informatica negli ultimi anni e dei crescenti rischi derivati da un mondo connesso attraverso la rete internet, l’Unione europea, ha deciso di rafforzare la resilienza, la dissuasione e la risposta comunitaria agli attacchi informatici. Questi ultimi, infatti, risultano essere costanti e rileva che entro il 2020 sono previsti decine di miliardi di dispositivi digitali connessi nell’UE.

L’unione, pertanto, intende rafforzare le norme relative alla cybersecurity al fine di sfruttare al meglio le opportunità fornite dalla nuova era digitale.

In tale contesto, gli eurodeputati della commissione per l’industria, la ricerca e l’energia (ITRE) hanno approvato la proposta di regolamento della Commissione europea, presentata il 13 settembre 2017 nell’ambito del cosiddetto pacchetto sulla cybersecurity, relativa all’istituzione di una nuova certificazione per i dispositivi connessi alla rete ed al conferimento di un ruolo maggiore all’Agenzia per la sicurezza informatica dell’Unione europea (ENISA).

Tale iniziativa è volta a consentire la crescita della cybersecurity dell’Unione nonché ad incrementare la fiducia e la sicurezza del mercato unico digitale.

Il progetto approvato dall’Europarlamento prevede un sistema di cybersecurity dell’UE il quale certificherà che un prodotto, un processo o un servizio fornito dalle Information and Communications Technologies (ICTs) non presenti elementi di vulnerabilità al momento della certificazione e che sia conforme agli standard ed alle specifiche tecniche internazionali.

La certificazione sarà facoltativa ed in alcuni casi obbligatoria. Essa dimostrerà:

  • la riservatezza, l’integrità, la disponibilità e la privacy dei servizi, delle funzioni e dei dati
  • che i servizi, le funzioni ed i dati siano accessibili ed utilizzati solo da persone e/o programmi autorizzati
  • che siano in atto processi volti a identificare tutte le vulnerabilità note ed a gestire quelle sconosciute
  • che i prodotti, i processi o i servizi siano progettati per essere sicuri e che siano dotati di software aggiornati
  • che altri rischi connessi agli incidenti informatici come i rischi per la vita e la salute, siano ridotti al minimo

Lo schema di certificazione specificherà tre livelli di garanzia basati su diverse tipologie di rischio:

  • rischio di base, vale a dire che il dispositivo elettronico è protetto dai noti rischi informatici basilari;
  • rischio sostanziale, il che significa che sono prevenuti i noti rischi basilari e che esiste anche la capacità di resistere agli attacchi informatici con risorse limitate;
  • alto rischio, il che si traduce nel fatto che i rischi di incidenti informatici vengono evitati e che il dispositivo è in grado di resistere agli attacchi informatici più avanzati con risorse significative.

Con riguardo all’Agenzia per la sicurezza informatica dell’Unione europea (ENISA), istituita nel 2004 ai sensi del regolamento (CE) n. 460/2004, essa sarà dotata di maggiori risorse economiche, di uno staff più vasto, nonché di un mandato permanente con sede centrale a Heraklion ed uffici ad Atene.

L’obiettivo è quello di sostenere in modo efficace ed efficiente gli sforzi degli Stati membri, delle istituzioni europee e degli altri stakeholder.

L’agenzia diventerà un punto di riferimento nel sistema di certificazione della cybersecurity, al fine di evitare la frammentazione dei sistemi di certificazione nell’Unione europea, redigere schemi di certificazione UE per specifici prodotti su richiesta della Commissione europea e gestire un sito web dedicato a tutte le informazioni pertinenti.

Precedentemente il ruolo dell’ENISA era principalmente quello di fornire competenze e consulenza piuttosto che trattare operativamente la sicurezza informatica; il cambiamento delle funzioni dell’Agenzia è avvenuto a partire dal 2016, in seguito all’adozione della direttiva sulla sicurezza della rete e dei sistemi di informazione, nota come direttiva DIS, la quale ha istituito formalmente una rete di squadre aventi l’obiettivo di risolvere gli incidenti informatici.

Angelika Niebler, eurodeputata del Partito popolare europeo (Democratici cristiani), relatrice del nuovo progetto di cybersecurity, ha affermato che si tratta di “un passo molto importante verso una visione a lungo termine della sicurezza informatica nell’UE” in primo luogo perché, dal punto di vista dei consumatori, è importante che gli utenti abbiano fiducia nelle ICTs, in secondo luogo perché l’Europa in tal modo potrebbe diventare un attore di primo piano nel settore della sicurezza informatica; “abbiamo una solida base industriale ed è vitale continuare a lavorare per migliorare la sicurezza informatica per beni di consumo, applicazioni industriali e infrastrutture critiche” ha dichiarato la relatrice.

Tale progetto, approvato con 56 voti favorevoli, 5 contrari ed 1 astensione, costituirà la posizione del Parlamento europeo nell’ambito dei negoziati con il Consiglio, se vi sarà l’approvazione della sessione plenaria di settembre.

Lascia un commento

Your email address will not be published.

*