È il giorno del Cybersecurity Act, nuovo strumento normativo europeo che mira a una sicurezza informatica più coesa e comunitaria.

Lo scorso 7 giugno la pubblicazione sulla Gazzetta Ufficiale. Oggi, 20 giorni dopo, l'entrata in vigore. È il giorno del Cybersecurity Act, nuovo strumento normativo europeo che mira a una sicurezza informatica più coesa e comunitaria. Si tratta di un Regolamento che ha lo scopo di creare un quadro europeo ben definito sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.

Criminalità informatica, danni per le aziende da 5.200 miliardi di dollari in cinque anni

L'impegno dell'esecutivo Ue è presentare «un modello europeo forte per la sicurezza informatica, in linea con i valori democratici Ue, a salvaguardia degli interessi dei cittadini e delle imprese europee», ha detto la commissaria Ue al Digitale, Mariya Gabriel. Inoltre, l'intenzione è quella di rendere più solido il ruolo dell' ENISA, l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione. È un passo importante, per l'Unione. Affrontare il capitolo della sicurezza informatica (dunque gli attacchi, e tutto quello che vi ruota attorno) in modo unitario, è una chiara strategia di rafforzamento. Un pezzo importante del puzzle pensato già nel 2017, con la prima normativa comunitaria sulla sicurezza informatica, la direttiva NIS, e proseguita con il regolamento europeo sul trattamento dei dati personali, il famoso GDPR. Oggi, attraverso un mercato unico della cybersecurity in fatto di prodotti, processi e servizi, l'Europa vuole dare un segnale forte di coesione, così da imprimere maggior fiducia nei consumatori che guardano al mercato digitale. Giova ricordare che secondo gli ultimi dati Ue disponibili, il mercato europeo della sicurezza informatica vale 130 miliardi di euro e registra una crescita annua del 17%.

«In Europa – racconta al Sole24Ore Paolo Dal Cin, Security Lead di Accenture per Europa e America Latina- il livello di standardizzazione in tema di cybersecurity è ancora molto basso. In questo contesto il Cybersecurity Act rappresenta sicuramente un passo importante per poter garantire, da un lato un modello operativo che abiliti una collaborazione snella e efficace tra tutti i soggetti all'interno della comunità europea, dall'altro un sistema di certificazione di riferimento che assicuri una protezione adeguata di tutti i prodotti e servizi digitali. Sono tutti elementi che riteniamo indispensabili per mantenere alto il livello di fiducia digitale dei consumatori e di tutto l'ecosistema». Com'è fatto il il Cybersecurity Act Questo nuovo strumento normativo è composto da due parti. La prima specifica quello che è il ruolo dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione. L'Enisa, istituita nel 2004, in questi anni ha fatto un po' da guardiano senza un vero ruolo operativo. L'agenzia, infatti, ha dato assistenza agli stati membri nella fase di elaborazione delle strategie sulla cybersecurity. Ma la gestione degli attacchi è sempre rimasta in mano al singolo Paese. Con il Cybersecurity Act, invece, il ruolo di Enisa diventa molto più operativo, entrando concretamente nella gestione di un cyberattacco. Inoltre, avrà compiti ben specifici in chiave di certificazione di servizi, processi e prodotti. Certificazione che è il pilastro portante della seconda parte del Cybersecurity Act. Ad oggi, la maggior parte delle certificazioni sulla cyber sicurezza esistenti nei vari stati membri, hanno valenza nazionale. Non vengono riconosciuti all'estero, insomma. Col muovo regolamento europeo, invece, si tende ad unificare i processi. Non tanto imponendo un certificato unico, quanto dettando le linee guida che rendano le certificazioni omogenee e riconosciute a livello comunitario. Cosa succederà in concreto Concretamente, quello che succederà adesso sarà un po' questo: l'agenzia Enisa predisporrà nuovi schemi europei di certificazione conformi al Cybersecurity Act. Questi schemi saranno successivamente adottati dalla Commissione UE, e diventeranno esecutivi e disponibili alle aziende europee. Chiaramente questi schemi andranno a sostituire i regolamenti nazionali. Ma per i prodotti certificati a livello nazionale, la validità rimarrà invariata fino alla loro scadenza.

Fonte il Sole24ore - Biagio Simonetta.