• Tipo News
    REDAZIONALE
  • Fonte
    ART-ER
  • Del

Cybersecurity è sinonimo di sicurezza informatica

Cybersecurity è sinonimo di sicurezza informatica: questo è il messaggio pervasivo ed esponenziale di questo termine.

Sebbene il significato di cybersecurity sottenda aspetti tecnologici che possono apparire remoti, la cibersicurezza non è altro che la promozione della protezione individuale e collettiva nell’uso di device (quali ad esempio computer, smartphone e dispositivi tecnologici IoT) connessioni, sistemi, dati e applicazioni, al fine di garantire la sicurezza degli utenti, dei prodotti e delle infrastrutture contro le minacce informatiche.

Con l’evoluzione della tecnologia, anche i rischi informatici si sono diversificati e, se da un lato queste situazioni di minaccia hanno portato a incertezze, dall’altro si è attuata una risposta aggiornata a livello normativo. Nel quadro normativo europeo può sembrare difficile orientarsi, tuttavia, gli effetti che ne derivano divengono sempre più quotidiani per le organizzazioni e le persone.
 

Cibersicurezza comunitaria: il Cybersecurity Act e la Strategia europea

Nel 2019 grazie al Regolamento europeo sulla cibersicurezza (Regolamento (UE) n. 2019/881), conosciuto come Cybersecurity Act, si è consolidata la collaborazione comunitaria.

Il Cybersecurity Act punta a raggiungere un elevato livello di cibersicurezza, ciberresilienza e fiducia nell’Unione europea attraverso:

  • un nuovo mandato di supporto alla gestione operativa per l’Agenzia per la cibersicurezza europea - ENISA della Commissione europea, nata nel 2004 per fornire consulenze e soluzioni agli Stati membri e agli stakeholder interessati
  • l’introduzione di un quadro di riferimento per i sistemi europei di certificazione volontaria della cibersicurezza dei prodotti, dei servizi e dei processi ICT (ad esempio per dispositivi medici, sistemi di controllo della produzione, tecnologia IoT), che si affianca agli schemi nazionali esistenti, per il riconoscimento univoco nell’Ue dei certificati e per stimolare una maggior  fiducia degli utenti.

Inoltre, questo Regolamento prevede un Programma di lavoro per la certificazione europea della cybersecurity - UWRP, che definisce anche le aree di applicazione e indicazioni per gli schemi di certificazione europea.

Grazie a questo Regolamento, gli utenti vengono tutelati attraverso le autorità nazionali a supervisione designate dagli Stati membri e in caso di certificato rilasciato in modo non conforme, possono presentare reclamo all’ente che lo ha emesso e cercare un ricorso giurisdizionale effettivo.

In tema di cibersicurezza, nel 2020, nell’ambito del Programma strategico per il Decennio Digitale e in linea con la Strategia dell’Unione europea per l’Unione della sicurezza di luglio 2020, nasce l’esigenza di una nuova Strategia europea in materia di  cibersicurezza.

La Strategia intende rafforzare la leadership e la resilienza comunitaria contro le minacce informatiche; prevenire e rispondere e difendere, attraverso la cooperazione interna le infrastrutture critiche, le catene di approvvigionamento, le istituzioni e i processi democratici; e cooperare per un ciberspazio globale e aperto.

In linea con gli obiettivi della Strategia, il quadro normativo europeo è stato arricchito recentemente con ulteriori normative connesse al Cybersecurity Act, che sono principalmente:

  • la Direttiva europea relativa a misure per un livello comune elevato di cibersicurezza (NIS2) (Direttiva (UE) 2022/2555) per la sicurezza di reti e entità critiche
  • il Regolamento europeo Cyber Resilience Act, in risposta alle esigenze di cibersicurezza dei prodotti per gli utenti/consumatori
  • la proposta di Regolamento europeo Cyber Solidarity Act, per una cooperazione e difesa comunitaria.
     

Ottobre 2024: i nuovi effetti normativi

In particolare, la Direttiva NIS2, e la complementare Direttiva sulla resilienza delle entità critiche (CER) (Direttiva (UE) 2022/2557), dovevano essere recepite entro ottobre 2024 dagli Stati membri mentre il 10 ottobre 2024 è stato adottato dal Consiglio dell’Unione europea il Cyber Resilience Act.

  • Con la Direttiva NIS2, gli utenti potranno beneficiare degli effetti positivi dati da infrastrutture in cui le informazioni viaggiano in modo sicuro.
    La NIS2 rivede la Direttiva sui sistemi di rete e di informazione (NIS) del 2016, che individuava alcuni settori specifici da tutelare e si rivolgeva a operatori di servizi essenziali e fornitori di servizi digitali.
    Con la NIS2 si potenzia la resilienza e la risposta agli incidenti da parte di soggetti pubblici e privati dell'Ue, per garantire la sicurezza dei settori ad alta criticità, le cui variazioni significative o distruzioni possono impedire funzioni fondamentali, con conseguenze per la sicurezza, la salute, l’economia e la società tutta.
    Questa Direttiva regola anche i processi di segnalazione degli incidenti di sicurezza significativi alle autorità competenti, sia europee che nazionali.
    Gli operatori dei settori critici dovranno segnalare gli incidenti informatici gravi alle autorità nazionali. Per l’Italia, è stata designata l’Agenzia per la Cybersicurezza Nazionale (ACN).
    La normativa amplia anche la rosa dei settori interessati, comprendendo i soggetti medi e grandi, tra cui le PMI, che producono materiali specifici e forniscono servizi digitali, indipendentemente dalle dimensioni.
     
  • Con la Direttiva sulla resilienza dei soggetti critichi (Direttiva CER) gli utenti godranno di un sistema di prevenzione e ripresa comune che riguarda le entità critiche.
    La CER garantisce infatti che i soggetti critici degli Stati membri siano in grado di prevenire incidenti dirompenti, come eventi naturali, eventi accidentali, terrorismo, minacce interne o emergenze di salute pubblica e riprendersi dagli stessi in caso si verifichino.
    I soggetti critici vengono designati e riconosciuti dagli Stati membri secondo criteri basati sull’impatto, la natura dei servizi essenziali offerti, l’interdipendenza tra i settori rappresentati e la rilevanza geografica transnazionale.
    I soggetti critici individuati sono tenuti a effettuare la valutazione del rischio degli incidenti e delle emergenze che possono trovarsi ad affrontare o da cui possono essere colpite, e adottare misure tecniche, di sicurezza e organizzative per rafforzare la loro resilienza e notificare gli incidenti in caso si verifichino.
     
  • Con il Cyber Resilience Act (CRA), gli utenti potranno scegliere più facilmente prodotti garantiti in termini di cibersicurezza.
    Il CRA, disciplinerà la marcatura dei prodotti di cybersecurity e l’introduzione di requisiti di sicurezza informatica per l'hardware e il software nel mercato europeo - ad esempio per monitor, smart watch, giochi per computer, firewall e router - connessi con altri dispositivi o reti (IoT). Questo per avere prodotti sicuri ancor prima della loro immissione sul mercato. La pubblicazione del CRA sulla Gazzetta Ufficiale dell’Unione europea è attesa a breve*, mentre le misure in esso contenute cominceranno a produrre i loro effetti fra 3 anni.
     

Le parole chiave per il futuro: certificazione e cooperazione comunitaria

Da queste normative, emergono sempre più evidenti due parole chiave per il futuro della sicurezza informatica: la certificazione e la cooperazione comunitarie.

Certificazione e cooperazione garantite in futuro, ad esempio, grazie all’applicazione degli atti correlati al Cybersecurity Act; tramite l’attività dell’European Cybersecurity Competence Centre (ECCC) e dei Centri di coordinamento nazionali (NCC), per la leadership nella sicurezza informatica e per la competitività dell'industria europea; o ancora, grazie alla risposta su larga scala tramite la proposta di Regolamento di solidarietà informatica dell'Unione europea (Cyber Solidarity Act), giunto all’accordo politico dei colegislatori a marzo 2024.

Se, infatti, la cibersicurezza potrà sempre più essere una garanzia tutelata, esigibile, certificata ed europea, allo stesso tempo dovrà essere sempre più una conoscenza e una capacità personale e professionale, individuale e collettiva. Questa necessità è emersa anche da una recente indagine dell'Eurobarometro e trova risposte sia nelle misure dell’Unione europea, che spingono sempre più verso “un’immunità collettiva”, e sia nella proattività degli utenti, al fine di garantire un benessere informatico attento e collaborativo.

 

* Il Regolamento sulla ciberresilienza è stato pubblicato sulla Gazzetta Ufficiale dell'UE il 20/11/2024 come Regolamento (UE) 2024/2847 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali

Area
Unione Europea