Il Parlamento Europeo ha approvato, con 586 voti favorevoli, 44 contrari e 36 astenuti, il testo finale della legge europea nota come Cybersecurity Act, che dovrà ricevere l’approvazione ultima dal Consiglio, per poi entrare in vigore in tutti gli stati membri dell’Unione europea.
Il nuovo Regolamento costituisce una parte fondamentale della nuova strategia per la sicurezza informatica dell’Europa che punta a rafforzare la resilienza dell’Unione agli attacchi informatici e a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi.
La proposta del regolamento risale a settembre 2017 quando il presidente della Commissione Europea Jean-Claude Juncker annuncia l’adozione, da parte della Commissione Europea, di un pacchetto sulla sicurezza cibernetica. Un mese dopo, Il Consiglio Europeo, composto dai capi di Stato e di Governo, si è espresso favorevolmente all’adozione di un approccio comune europeo volto ad aggiornare la Cybersecurity Strategy del 2013 attraverso il rilancio di un’Unione più resiliente in materia di minacce cibernetiche.
Al Consiglio europeo di ottobre 2017 si è poi adottato l’Action Plan per dare il via al processo di riforma. Nel corso dei mesi successivi altri organi e istituzioni dell’UE hanno espresso opinioni e posizioni riguardo la bozza della riforma, che ha preso il nome di “Cybersecurity Act”.
A dicembre 2018 viene raggiunto l’accordo politico tra le diverse istituzioni europee. A marzo 2019, infine, il Parlamento Europeo approva il testo del Cybersecurity Act proposto dalla Commissione Europea. Si attende adesso il voto finale del Consiglio Europeo che concluderà l’iter di approvazione del provvedimento. Seguirà la pubblicazione sulla Gazzetta ufficiale dell’Unione.
Il nuovo dispositivo normativo introduce due principali misure: nella prima viene rafforzato il ruolo maggiore, nella cooperazione e nel coordinamento a livello europeo, dell’ENISA (European Union Agency for Network and Information Security), con un mandato permanente in sostituzione del mandato limitato che sarebbe scaduto nel 2020, nonché maggiori risorse assegnate all’agenzia per consentirgli di svolgere compiti operativi; nella seconda viene introdotto un quadro di certificazione a livello UE per garantire che prodotti ICT e servizi siano sicuri per la sicurezza informatica.
Inoltre, l’ENISA contribuirà ad aumentare le capacità di cybersecurity a livello di UE e sosterrà il rafforzamento delle capacità e la preparazione. Infine, l’Enisa sarà un centro di competenza indipendente che contribuirà a promuovere un alto livello di consapevolezza dei cittadini e delle imprese, ma aiuterà anche le istituzioni dell’UE e gli Stati membri nello sviluppo e nell’attuazione delle politiche.
Si tratta di uno sviluppo innovativo, in quanto è la prima legge sul mercato interno che:
- raccoglie la sfida di migliorare la sicurezza dei prodotti connessi, dei dispositivi Internet of Things (IoT) e delle infrastrutture critiche attraverso tali certificati
- si propone di incorporare norme di sicurezza già nelle prime fasi della progettazione tecnica e dello sviluppo tecnico (security by design)
- consente agli utenti di accertare il livello di sicurezza e garantisce che tali funzioni di sicurezza siano verificate in modo indipendente.
La certificazione europea è di particolare interesse perché, coerentemente con il modello di privacy by design già previsto dal Regolamento Ue 2016/679 (Gdpr), viene introdotto anche per la sicurezza delle reti il modello di “security by design” fin dalla fase della progettazione dei prodotti ICT, inclusi quei dispositivi di consumo eterogeneamente connessi alla rete (IoT).
Il Cybersecurity Act rappresenta un’importante novità della strategia dell’UE per la sicurezza cibernetica che potrebbe ripercuotersi al di là delle frontiere del mercato unico, proiettando un modello di gestione della cybersecurity singolare e interessante.
Fonti:
http://europa.eu/rapid/press-release_IP-17-3193_en.htm
Ecco il documento Ufficiale scaricabile in PDF (IT): https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=IT
Alternative Link PDF: http://www.europarl.europa.eu/doceo/document/TA-8-2019-0151_IT.pdf
