CYBERSECURITY ACT

Strategie EU di difesa dello spazio cibernetico

CYBERSECURITY ACT

Gran parte della moderna industria 4.0, molte imprese, molte pubbliche amministrazioni e professionisti, all’interno dell’UE si affidano, per non dire dipendono, in modo sempre più importante ed imprescindibile, da sistemi elettronici di comunicazione, dalle reti e dalle infrastrutture digitali distribuite all’interno del Territorio dell’Unione, per fornire i loro servizi.

Si pensi per esempio, all’architettura del Processo Civile Telematico (P.C.T.) ed ai sistemi impiegati per il deposito degli atti processuali oppure, all’introduzione, nel nostro ordinamento, della Fatturazione elettronica, piuttosto che alla sempre più diffusa applicazione di servizi TIC correlati alla tutela della salute, il c.d. e-Health (Electronic Health).

Quanto sopra, se da un lato ha il vantaggio di incrementare in modo esponenziale le opportunità e la semplificazione nei rapporti tra gli attori del mercato dei prodotti, dei servizi, ma anche delle prestazioni ai cittadini, si pensi per esempio all’assistenza sanitaria pubblica, implica, dall’altro lato che, nel momento in cui dovesse verificarsi una violazione o un incidente a carico della sicurezza delle reti e dei sistemi informativi impiegati, l’impatto potrebbe essere devastante ed irrimediabile, poiché i servizi stessi potrebbe venire compromessi e le organizzazioni citate non avrebbero più le risorse per operare correttamente.

Non solo, occorre considerare anche che, nel quadro delle interconnessioni tecnologiche esistenti tra i diversi Player, pubblici e privati del mercato digitale (Digital Market), un incidente di sicurezza verificatosi in un paese, oltre ad indebolire la fiducia dei consumatori nei sistemi di pagamento online e nelle reti TIC, può avere ripercussioni significative in altri paesi e persino in tutta l’UE..

Secondo la Commissione europea, nonostante la crescente minaccia, la consapevolezza e la conoscenza della cyber sicurezza sono ancora insufficienti, per esempio: il 51% dei cittadini europei ritiene di essere disinformato per quanto concerne le minacce informatiche, il 69% delle imprese ha conoscenze di base, o nessuna conoscenza, circa la loro esposizione ai rischi informatici mentre, gli attacchi perpetrati per mezzo di ransomware sono triplicati tra il 2015 e il 2017, l’impatto economico della criminalità informatica è oggi cinque volte superiore rispetto al 2013.

Come si è avuto modo di constatare su queste pagine, l’Unione ha già adottato importanti provvedimenti per garantire la cyber sicurezza, nel 2013 è stata adottata la strategia dell’UE per la cyber sicurezza e, nel 2016 è stato adottato il primo atto legislativo nel settore, la direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (“direttiva NIS”).

Come è noto, la direttiva NIS ha stabilito obblighi concernenti le capacità nazionali nel campo della cyber sicurezza, ha istituito i primi meccanismi volti a rafforzare la cooperazione strategica e operativa tra gli Stati membri e ha introdotto obblighi riguardanti le misure di sicurezza e le notifiche degli incidenti in tutti i settori che sono di vitale importanza per l’economia e la società, quali l’energia, i trasporti, l’acqua, i servizi bancari, le infrastrutture dei mercati finanziari, la sanità, le infrastrutture digitali e i fornitori di servizi digitali essenziali (motori di ricerca, servizi di cloud computing e mercati online).

In questo ambito, sin dal 2017, nel quadro della sua strategia per il mercato unico digitale, la Commissione ha adottato e trasmesso al Consiglio e al Parlamento europeo la proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo all’ENISA, l’Agenzia dell’Unione europea per la cyber sicurezza, che abroga il regolamento (UE) n. 526/2013, e relativo alla certificazione della cyber sicurezza per le tecnologie dell’informazione e della comunicazione (CYBERSECURITY ACT).

La proposta della Commissione è corredata di una valutazione d’impatto che esamina una serie specifica di otto opzioni strategiche, che includono il riesame dell’ENISA, che dovrebbe assumere il ruolo di EU Cybersecurity Agency, e la certificazione della cyber sicurezza nel settore delle TIC.

Il Regolamento proposto stabilisce gli obiettivi, i compiti e gli aspetti organizzativi dell’ENISA, l’Agenzia dell’Unione europea per la cyber sicurezza, e crea un quadro per l’introduzione di sistemi europei di certificazione della cybersicurezza al fine di garantire un livello adeguato di cyber sicurezza dei prodotti e dei servizi TIC nell’Unione.

In sintesi il CYBER SECURITY ACT comprende due filoni principali, da una parte, un mandato permanente per l’Agenzia, con un campo di applicazione ben delineato, e una serie rinnovata di compiti e funzioni, per permettere di sostenere in modo efficace ed efficiente gli sforzi degli Stati membri, delle istituzioni dell’UE e degli altri portatori d’interessi al fine di garantire un ciberspazio sicuro, dall’altra, un quadro europeo di certificazione della cybersicurezza per i prodotti e servizi TIC e regole che disciplinano i sistemi europei di certificazione della cybersicurezza, per far sì che i certificati rilasciati nell’ambito di tali sistemi siano validi e riconosciuti in tutti gli Stati membri e per rispondere all’attuale frammentazione del mercato.

Tra le disposizioni più significative della proposta di regolamento, sembra importante sottolineare, allo stato, anche per il valore interpretativo che è possibile attribuire ai c.d. lavori preparatori del diritto dell’Unione, il fatto che, si sia proceduto alla definizione:

   - all’art. 2 nr. 1 del termine Cybersicurezza, come l’insieme delle attività necessarie per proteggere la rete e i sistemi
     informativi, i loro utenti e le persone interessate dalle minacce informatiche;

   - ed al numero 8 dello stesso articolo, dell’espressione minaccia informatica, come qualsiasi circostanza o evento
     che potrebbe danneggiare, perturbare o avere un impatto negativo di altro tipo sulla rete e sui sistemi informativi,
     sui loro utenti e sull persone interessate.

Lo scorso 18 Ottobre, infine, nelle conclusioni della riunione del Consiglio europeo, quest’ultimo, nel condannare l’attacco informatico ostile condotto ai danni dell’Organizzazione per la proibizione delle armi chimiche (OPCW), auspicando, nell’ottica di un miglioramento ulteriore della sicurezza interna dell’UE nonché dell’abilità e delle capacità di individuare, prevenire e contrastare le attività ostili di reti di intelligence straniere e di altri soggetti malintenzionati sui territori e online, che siano portati a termine i negoziati su tutte le proposte in materia di cybersicurezza entro la fine della legislatura, ha richiesto misure tese a contrastare le attività illecite e dolose di natura informatica e basate sull’uso di sistemi informatici nonché creare una cybersicurezza forte.

Prossimo numero.
Nel prossimo numero, alla luce delle prime esperienze applicative e del completamento del coordinamento delle norme dell’Ordinamento interno, con le norme in materia di protezione dei dati personali, saranno approfonditi i temi dei diritti degli interessati e delle nuove disposizioni applicabili ai procedimenti di fronte alla Autorità di controllo.

                                    Avv. Giuseppe Serafini