Il Cybersecurity Act è il regolamento che, proposto dalla Commissione Europea, è stato recentemente approvato dal Parlamento Europeo per dare seguito alle diverse iniziative utili ad aggiornare e sviluppare la strategia di sicurezza cibernetica a livello comunitario; si tratta di un complesso di norme che, articolandosi in due parti, rinvigorisce il mandato dell’ENISA, l’Agenzia dell’Unione europea per la sicurezza informatica e definisce il quadro comune di riferimento europeo per la valutazione e la certificazione della sicurezza informatica di prodotti, processi e servizi di tecnologie dell’informazione e della comunicazione. La risoluzione legislativa, proposta dalla Commissione Europea, è stata votata il 12 Marzo 2019 dal Parlamento Europeo, con il voto favorevole di una larga maggioranza dei partecipanti ai lavori; successivamente, in data 9 Aprile, è stata ufficialmente adottata dal Consiglio Affari Generali del Consiglio Europeo ed entrerà in vigore decorsi 20 giorni dalla pubblicazione in Gazzetta Ufficiale avvenuta il 7 Giugno 2019.

Il Parlamento Europeo, nella stessa seduta del 12 Marzo, ha colto l’occasione per manifestare grande preoccupazione per il continuo aumento della presenza di tecnologia cinese nel nostro continente, con particolare riferimento a quella impiegata per realizzare reti 5G; il timore è che possono essere introdotte “backdoor” con le quali accedere a dati personali e in generale favorire le intercettazioni. A tal proposito, il CyberSecurity Act1 è una delle risposte a questa minaccia. L’Europa, con questi interventi legislativi, si pensi altresì alla direttiva NIS (Network and Information Systems) o al regolamento GDPR (General Data Protection Regulation), oltre a favorire la crescita della propria “cyber resilience”, intende ridurre la criminalità informatica, sviluppare politiche e capacità di “cyber defense” e realizzare proprie risorse industriali e tecnologiche per la sicurezza cibernetica, anche nell’ottica di creare le condizioni per disporre di una propria indipendenza rispetto a grandi “player”, come ad esempio gli Stati Uniti e la Cina, tra l’altro sempre più in contrasto tra loro. Una indipendenza che, in un regime fortemente concorrenziale, consentirebbe di non escludere la possibilità di utilizzare forniture cinesi, a patto di una rispondenza a determinate specifiche di sicurezza, valutabili e certificabili in maniera oggettiva, in linea con i valori fondanti dell’UE.

ENISA – European union agency for network and information security

L’Agenzia, creata nel 2004, con questo nuovo regolamento assumerà un ruolo e una organizzazione a carattere permanente per sostenere in maniera energica gli Stati membri e le istituzioni nel miglioramento della sicurezza cibernetica, promuovendone in tal senso un elevato livello comune in tutta l’Unione. L’ENISA provvederà dunque a supportare lo sviluppo, la revisione e l’attuazione delle politiche e della normativa dell’Unione in materia di “cyber security”; motivo questo, per cui tra i suoi obiettivi, vi rientra anche quello di assistere gli Stati membri nell’attuazione della direttiva (UE) 2016/1148 (precedentemente citata come direttiva NIS) attraverso pareri e orientamenti sullo sviluppo di strategie nazionali in materia di sicurezza delle reti e dei sistemi informativi, la realizzazione di CSIRT nazionali, l’analisi del rischio, la gestione degli incidenti informatici e la condivisione delle informazioni2. Fondamentale sarà anche il contributo che fornirà al Gruppo di Cooperazione che, previsto nell’articolo 11 della direttiva NIS, sostiene e agevola la cooperazione strategica e lo scambio d’informazioni tra gli Stati membri. Non meno importante sarà il settore dell’identificazione e dei servizi fiduciari ai quali dovrà garantire servizi di consulenza, agevolando allo stesso tempo lo scambio delle migliori pratiche tra le autorità competenti; con il medesimo approccio promuoverà anche un livello di sicurezza più elevato delle comunicazioni elettroniche. Molti altri compiti dovrà svolgere l’Agenzia per migliorare il livello di protezione delle reti e dei sistemi informativi, anche attraverso lo sviluppo di un’efficace cooperazione operativa a livello di Unione; tra questi compiti ricordiamo, l’assistenza agli Stati Membri, le istituzioni e gli organismi dell’Unione stessa, in particolare i CSIRT nazionali e il CERT- UE, nello sviluppo delle capacità di prevenzione, rilevazione e analisi delle minacce e di risposta ad incidenti informatici, compresi quelli a carattere transfrontaliero, l’organizzazione di esercitazioni periodiche di cyber sicurezza (anche settoriali) su larga scala che interesseranno l’intera comunità europea, predisporre e rendere disponibile un’offerta di formazione specifica, ecc.. In generale, su richiesta, l’ENISA dovrà fornire anche assistenza agli Stati membri per valutare gli incidenti che determinano un impatto rilevante, condividendo tra gli stessi Stati sia informazioni, sia soluzioni tecniche. L’Agenzia, oltre ad impegnarsi nello sviluppo della cooperazione a livello europeo, provvederà ad operare per favorire la crescita dello sviluppo della cooperazione con paesi extra-UE e in generale di tutte le organizzazioni internazionali che trattano il tema della cyber security. D’interesse per l’ENISA, sarà anche l’opinione pubblica, per la quale, attraverso campagne ad hoc, ne promuove da sempre la sensibilizzazione e l’informazione in materia di sicurezza cibernetica (e.g. European Cyber Security Month3); al riguardo fornisce e continuerà a fornire agli stessi Stati membro il proprio contributo per avviare iniziative analoghe su scala nazionale. L’agenzia, attenta alle tecnologie emergenti in ambito cyber security, fornirà valutazioni sui possibili impatti derivanti dal suo utilizzo, secondo diversi punti di vista, quello sociale, giuridico, economico e normativo, fornendo anche pareri utili per orientare i programmi di ricerca e innovazione in materia di cyber security.

In generale diversi temi di cyber security a cui abbiamo fatto finora riferimento, sono stati già indirizzati nei precedenti anni da ENISA; ne consegue che, quanto disposto con il nuovo regolamento, il Cybersecurity Act (ma anche con la Direttiva la NIS), permetterà all’Agenzia di dare continuità alle proprie attività, ma soprattutto di migliorarle grazie al nuovo assetto dell’Agenzia con la quale saranno disponibili un maggior numero di risorse economiche ed umane; tra le ipotesi, si prevede a regime una crescita del budget che dovrebbe passare dai circa 11 milioni di euro all’anno ai 23 milioni di euro; analogamente le risorse dovrebbero passare dalle circa 80 attuali a 125 a regime.

ENISA potrà altresì essere coinvolta, se richiesto, nella preparazione di una proposta di sistema o di rivedere un sistema europeo di certificazione per la sicurezza di prodotti, processi e servizi digitali che saranno commercializzati nell’Unione Europea, istituendo in tal senso un gruppo di lavoro ad hoc e comunque attraverso la stretta collaborazione delle autorità nazionali di certificazione dei diversi Stati Membro; almeno ogni cinque anni l’ENISA valuterà ogni sistema europeo di certificazione della cyber sicurezza adottato, tenendo conto del riscontro ricevuto dalle parti interessate. In sostanza, con questa nuova disposizione legislativa, si conferisce all’ENISA, nell’ambito di una trasformazione voluta e funzionale alle nuove esigenze della comunità europea, un ruolo sempre più operativo.

Sistema europeo per la certificazione di sicurezza di prodotti e servizi digitali
Con il nuovo mandato l’ENISA dovrà dunque sostenere e promuovere lo sviluppo e l’attuazione della politica dell’Unione in materia di certificazione della sicurezza cibernetica di prodotti, servizi e processi relativi alle tecnologie dell’informazione e della comunicazione, anche attraverso il monitoraggio continuo degli sviluppi che caratterizzano i settori di normazione connessi, la valutazione dei sistemi europei di certificazione della cyber sicurezza già adottati e la predisposizione delle linee guida necessarie agli enti di certificazione per valutare e conferire la certificazione di sicurezza a chi ne farà richiesta; ciò non senza le preoccupazioni espresse, senza mezzi termini, da alcune importanti Agenzie Governative appartenenti ad  alcuni importanti Stati membri4.

Infatti, esistono già diversi schemi di certificazione nei paesi della Comunità Europea; uno degli obiettivi del CyberSecurity Act sarà proprio quello di favorire, attraverso la definizione di quelle linee guida già citate, un processo di convergenza che, per armonizzazione e uniformazione, consenta di riconoscere valida la certificazione di sicurezza in tutta la comunità europea, a prescindere dal paese in cui è stata acquisita. Ad esempio, in Italia lo schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione trova riscontro nell’Organismo di Certificazione della Sicurezza Informatica (OCSI) dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione (ISCOM)5. Per la gestione dell’Organismo di Certificazione, l’ISCOM si avvale della collaborazione della Fondazione Ugo Bordoni. Le valutazioni all’interno dello Schema nazionale vengono eseguite applicando i criteri europei ITSEC (Information Technology Security Evaluation Criteria) o quelli, denominati Common Criteria, che costituiscono lo standard internazionale ISO/IEC IS-15408. Analoghe considerazioni potremmo fare per il Centro di Valutazione (CE.VA.) della sicurezza informatica di prodotti e sistemi destinati a gestire dati coperti dal Segreto di Stato o di vietata divulgazione6. In ogni caso, tralasciando le precedenti osservazioni, l’ENISA per definire i criteri di certificazione dovrà prima consultare società e Stati membri. Tra i requisiti dei sistemi di certificazione, tutti orientati alla sicurezza, saranno valutati quelli per garantire la disponibilità, l’integrità e confidenzialità dei dati durante il loro ciclo di vita, la capacità di registrare l’accesso ai dati, da parte di chi, quando e che utilizzo se ne fa degli stessi, la verifica che non contengano vulnerabilità note e che comunque dispongono di meccanismi per effettuare aggiornamenti, in generale che siano progettati in linea con il principio della “security by design”. Si tratta di requisiti che, tutti o in parte, dovranno essere valutati in funzione del livello di affidabilità che si intende
certificare (di base, sostanziale o elevato) del prodotto, processo e\o servizio. Al riguardo il livello di affidabilità è proporzionale al rischio che interessa ciò che si certifica rispetto alla probabilità che la stessa possa essere interessato ed impattato da un incidente informatico. L’esame dei requisiti spetterà ai singoli Stati membro attraverso centri di valutazione che, realizzati ad hoc, saranno accreditati da Accredia, l’ente unico nazionale di accreditamento designato dal governo italiano, in applicazione del Regolamento europeo 765/2008. Proprio la procedura di accreditamento. L’accreditamento assicurerà che gli organismi di certificazione, ispezione e verifica, e i laboratori di prova e taratura, abbiano tutti i requisiti richiesti dalle norme per svolgere attività di valutazione della conformità. L’attuazione del Cybersecurity Act ed in particolare la certificazione della sicurezza informatica di prodotti, processi e servizi digitali sarà comunque, almeno in una prima fase, rilasciata solo su base volontaria, anche se non è escluso che in un prossimo futuro la stessa sarà resa obbligatoria. Ne consegue che anche per l’applicazione della Direttiva NIS nei confronti degli operatori di servizi essenziali, la certificazione non sarà imposta per servizi e processi a carattere sistemico o comunque in generale ritenuti critici.

Conclusioni
Dalle precedenti considerazioni si evince come, attraverso un’articolata politica dell’Unione Europea avviata ormai da diversi anni, s’intende realizzare un sistema digitale sempre più resiliente, ridurre la criminalità informatica, sviluppare nuove e progressive capacità di difesa cibernetica e analogamente risorse e tecnologie per la cyber sicurezza. Obiettivi che necessariamente richiedono sforzi da parte dei diversi Stati membro e da tutti gli organi istituzionali, nazionali e non, coinvolti in questa sfida. Sforzi che passano per la ricerca di figure professionali opportunamente preparate e motivate, a tutti i livelli, dagli operatori e analisti che conoscono le soluzioni e i linguaggi di programmazione orientati alla sicurezza e le metodologie di analisi degli eventi di sicurezza e dei malware, fino a chi disegna procedure e processi, ad esempio quelli per la gestione degli incidenti di sicurezza informatica e progetta architetture cyber sec attraverso la conoscenza di best practice, standard di riferimento e normativa di settore. Altrettanto importanti, per il raggiungimento dei medesimi obiettivi, sono gli investimenti economici che, non solo dovrebbero essere incrementati nel tempo, ma anche allineati tra i diversi Stati membro, così da poter raggiungere, realmente, un elevato livello comune di sicurezza delle reti e dei sistemi informativi. Purtroppo, conoscere con esattezza tali investimenti non è cosa semplice e molte organizzazioni hanno difficoltà a quantificare questo dato, considerando che spesso non riescono a distinguerlo da quello più generale dell’IT.

Gianluca Bocci

1 https://eucyberact.org
2 Dettagli ulteriori sul il ruolo di ENISA nell’ambito della NIS, sono disponibili nell’articolo “La
Direttiva NIS: un articolato quadro tecnico-normativo”, disponibile, proprio sulla rivista Cyber Security Trends, al link https://www.cybertrends.it/la-direttiva-nis-un-articolato-quadro- tecnico-normativo/.
3 https://cybersecuritymonth.eu/
4 https://www.euractiv.com/section/cybersecurity/news/french-cybersecurity-chief-warns-
against-step-back-into-the-past/
5 http://www.isticom.it/index.php/qualita-del-servizio/sicurezza-ocsi 6 http://www.isticom.it/index.php/qualita-del-servizio/sicurezza-ceva

Facebook
Facebook
Twitter
Visit Us
LinkedIn
YOUTUBE
YOUTUBE