Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO EUROPEO

Cybersecurity Act, approvata la legge europea per la sicurezza cibernetica: che c’è da sapere

Il Parlamento Europeo ha approvato il Cybersecurity Act, la certificazione di sicurezza informatica UE per prodotti, processi e servizi, e ha dato maggiori poteri all’agenzia di cyber security europea (ENISA) per meglio affrontare le minacce informatiche della Cina in merito all’installazione delle reti 5G. Ecco tutte le novità

12 Mar 2019

Paolo Tarsitano


Durante l’odierna seduta plenaria, il Parlamento Europeo ha definitivamente adottato con 586 voti favorevoli, 44 contrari e 36 astensioni il sistema di certificazione per la sicurezza informatica europea meglio noto come Cybersecurity Act.

Così come già concordato informalmente con i ministri UE, il Cybersecurity Act prevede la certificazione delle infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a prodotti, processi e servizi, e garantisce che soddisfino gli standard di sicurezza informatica.

I sistemi di controllo industriali, i dispositivi medici e i nuovi veicoli a guida autonoma sono solo alcuni dei prodotti di uso comune (o che lo saranno nei prossimi anni) per i quali sarà disponibile il nuovo schema europeo di certificazione.

Le 5 principali minacce informatiche a cui sarà possibile far fronte grazie alla piena applicabilità del Cybersecurity Act.

Tocca adesso alla Commissione valutare, entro il 2023, se tali nuovi sistemi volontari per i vari Stati Membri debbano essere resi obbligatori.

Il nuovo Regolamento, lo ricordiamo, costituisce una parte fondamentale della nuova strategia per la sicurezza cibernetica dell’Europa e consente non solo di rafforzare la resilienza dell’Unione agli attacchi informatici, ma anche di creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi.

In questa ottica, dunque, il Cybersecurity Act si affianca all’altra importante normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

A differenza di quest’ultima, però, il Cybersecurity Act è un Regolamento e in quanto tale è immediatamente applicabile in tutti gli Stati Membri, senza che vi sia necessità di interventi attuativi da parte dei legislatori nazionali.

La nuova legge sulla sicurezza informatica prevede, inoltre, un mandato permanente e maggiori risorse per l’Agenzia europea per la sicurezza informatica, l’ENISA.

In questo modo, l’Agenzia europea potrà svolgere non solo i suoi consueti compiti di consulenza tecnica, ma potrà svolgere anche attività di supporto concreto alla gestione operativa degli incidenti informatici da parte degli Stati membri.

Con la decisione odierna, inoltre, il Parlamento Europeo ha affidato all’ENISA un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.

Secondo Luca Tosoni, avvocato e ricercatore presso l’Università di Oslo: “l’adozione del Cybersecurity Act rappresenta un passo importante verso la piena attuazione del principio della cosiddetta “security by design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti ICT. Infatti, il sistema comune di certificazione che verrà introdotto a livello europeo dovrebbe incentivare una maggiore attenzione alla sicurezza informatica di prodotti e servizi digitali, facilitando al contempo l’accesso delle aziende produttrici ai mercati degli altri paesi europei”.

“È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi”, precisa Tosoni, “ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione di prodotti e servizi digitali.  Bisognerà quindi aspettare alcuni mesi perché il sistema di certificazione introdotto dal Cybersecurity Act cominci a funzionare a pieno regime”.

“Il testo adottato oggi dal Parlamento Europeo può considerarsi come sostanzialmente definitivo – salve revisioni linguistiche e di forma dell’ultimo minuto – ma dovrà essere formalmente approvato anche dal Consiglio prima di entrare definitivamente in vigore. Quest’ultimo passaggio formale dovrebbe avvenire nelle prossime settimane”.

Minacce informatiche: la Cina fa paura

Il Parlamento Europeo ha inoltre adottato una risoluzione non legislativa, per alzata di mano, in cui si chiede un’azione decisa contro le minacce alla sicurezza legate alla crescente presenza tecnologica della Cina nell’unione europea.

I deputati, infatti, hanno espresso forte preoccupazione per le recenti affermazioni secondo cui le infrastrutture per le reti 5G potrebbero avere delle “backdoor” incorporate che consentirebbero ai fornitori e alle autorità cinesi di avere un accesso non autorizzato ai dati personali e alle telecomunicazioni nell’UE.

Il timore, non celato, è che i fornitori di dispositivi di paesi terzi possano presentare un rischio per la sicurezza informatica dell’UE a causa delle leggi del loro paese che obbligano le imprese a cooperare con lo Stato grazie a una definizione molto ampia della sicurezza nazionale.

In particolare, le leggi cinesi sulla sicurezza dello Stato hanno suscitato reazioni negative in vari paesi.

Per questo motivo, i deputati hanno chiesto alla Commissione e agli Stati membri di fornire soluzioni per affrontare le vulnerabilità informatiche nell’acquisto dei materiali per il 5G. Contestualmente, è stato anche proposto di:

  • diversificare gli acquisti con diversi fornitori;
  • introdurre procedure di appalto in più fasi;
  • stabilire una strategia per ridurre la dipendenza dell’Europa dalla tecnologia di sicurezza informatica straniera;
  • creare un sistema di certificazione cyber-sicurezza per l’introduzione del 5G.

Sicurezza cibernetica europea: le prossime tappe

La votazione odierna del Parlamento Europeo per l’approvazione del Cybersecurity Act rappresenta dunque un importante passo avanti nella realizzazione di un sistema di sicurezza cibernetica europea, come osserva la relatrice della legge Angelika Niebler, secondo cui la nuova legge “consentirà all’UE di tenere il passo con i rischi per la sicurezza nel mondo digitale per gli anni a venire. La legislazione è una pietra angolare per far sì che l’Europa diventi un attore globale nel campo della sicurezza informatica. I consumatori, così come l’industria, devono potersi fidare delle soluzioni informatiche”.

A questo punto, il Consiglio d’Europa deve ora approvare formalmente la legge sulla sicurezza informatica. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione, mentre la risoluzione sulla presenza cinese nell’UE sarà inviata alla Commissione e agli Stati membri per le necessarie discussioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5