Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO EUROPEO

Cybersecurity Act, pubblicato sulla Gazzetta ufficiale UE il testo definitivo: tutte le novità

È stato pubblicato sulla Gazzetta ufficiale dell’Unione europea il testo definitivo del Cybersecurity Act, il Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 che sarà immediatamente esecutivo in tutti gli Stati membri dal prossimo 27 giugno. Ecco tutte le novità

10 Giu 2019

Paolo Tarsitano


Il testo definitivo del cosiddetto Cybersecurity Act è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea L 151/15 del 7 giugno scorso: la nuova legge si chiama ufficialmente Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019.

Il provvedimento entrerà ufficialmente in vigore il prossimo 27 giugno e, trattandosi di un Regolamento, sarà immediatamente esecutivo in tutti gli Stati membri senza necessità di interventi attuativi da parte dei legislatori nazionali.

Si è dunque giunti finalmente alla conclusione di un lungo iter approvativo iniziato nel 2017 con la presentazione del testo iniziale del Cybersecurity Act da parte della Commessione europea.

L’ultima tappa è stata raggiunta lo scorso 12 marzo quando, in seduta plenaria, il Parlamento Europeo ha definitivamente adottato con 586 voti favorevoli, 44 contrari e 36 astensioni il sistema di certificazione per la sicurezza informatica europea, noto per l’appunto come Cybersecurity Act.

Si completa la strategia europea per la sicurezza cibernetica

Così come già concordato informalmente con i ministri UE, il Cybersecurity Act prevede la certificazione delle infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a prodotti, processi e servizi, e garantisce che soddisfino gli standard di sicurezza informatica.

I sistemi di controllo industriali, i dispositivi medici e i nuovi veicoli a guida autonoma sono solo alcuni dei prodotti di uso comune (o che lo saranno nei prossimi anni) per i quali sarà disponibile il nuovo schema europeo di certificazione.

Tocca adesso alla Commissione valutare, entro il 2023, se tali nuovi sistemi volontari per i vari Stati Membri debbano essere resi obbligatori.

Il nuovo Regolamento, lo ricordiamo, costituisce una parte fondamentale della nuova strategia per la sicurezza cibernetica dell’Europa e consente non solo di rafforzare la resilienza dell’Unione agli attacchi informatici, ma anche di creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi.

In questa ottica, dunque, il Cybersecurity Act si affianca all’altra importante normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

La nuova legge sulla sicurezza informatica prevede, inoltre, un mandato permanente e maggiori risorse per l’Agenzia europea per la sicurezza informatica, l’ENISA.

In questo modo, l’Agenzia europea potrà svolgere non solo i suoi consueti compiti di consulenza tecnica, ma potrà svolgere anche attività di supporto concreto alla gestione operativa degli incidenti informatici da parte degli Stati membri.

Con la decisione presa lo scorso 12 marzo 2019, inoltre, il Parlamento europeo ha affidato all’ENISA un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.

Secondo Luca Tosoni, avvocato e ricercatore presso l’Università di Oslo: “l’adozione del Cybersecurity Act rappresenta un passo importante verso la piena attuazione del principio della cosiddetta “security by design”, ovvero la presa in considerazione della sicurezza informatica fin dagli stadi iniziali della progettazione dei prodotti ICT. Infatti, il sistema comune di certificazione che verrà introdotto a livello europeo dovrebbe incentivare una maggiore attenzione alla sicurezza informatica di prodotti e servizi digitali, facilitando al contempo l’accesso delle aziende produttrici ai mercati degli altri paesi europei”.

“È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi”, precisa Tosoni, “ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione di prodotti e servizi digitali.  Bisognerà quindi aspettare alcuni mesi perché il sistema di certificazione introdotto dal Cybersecurity Act cominci a funzionare a pieno regime”.

Minacce informatiche: la Cina fa paura

Il Parlamento Europeo ha inoltre adottato una risoluzione non legislativa, per alzata di mano, in cui si chiede un’azione decisa contro le minacce alla sicurezza legate alla crescente presenza tecnologica della Cina nell’unione europea.

I deputati, infatti, hanno espresso forte preoccupazione per le recenti affermazioni secondo cui le infrastrutture per le reti 5G potrebbero avere delle “backdoor” incorporate che consentirebbero ai fornitori e alle autorità cinesi di avere un accesso non autorizzato ai dati personali e alle telecomunicazioni nell’UE.

Il timore, non celato, è che i fornitori di dispositivi di paesi terzi possano presentare un rischio per la sicurezza informatica dell’UE a causa delle leggi del loro paese che obbligano le imprese a cooperare con lo Stato grazie a una definizione molto ampia della sicurezza nazionale.

In particolare, le leggi cinesi sulla sicurezza dello Stato hanno suscitato reazioni negative in vari paesi.

Per questo motivo, i deputati hanno chiesto alla Commissione e agli Stati membri di fornire soluzioni per affrontare le vulnerabilità informatiche nell’acquisto dei materiali per il 5G. Contestualmente, è stato anche proposto di:

  • diversificare gli acquisti con diversi fornitori;
  • introdurre procedure di appalto in più fasi;
  • stabilire una strategia per ridurre la dipendenza dell’Europa dalla tecnologia di sicurezza informatica straniera;
  • creare un sistema di certificazione cyber-sicurezza per l’introduzione del 5G.

Europa: un attore globale per la sicurezza informatica

Il Cybersecurity Act rappresenta un importante passo avanti nella realizzazione di un sistema di sicurezza cibernetica europea, come ha in passato osservato la relatrice della legge Angelika Niebler.

Secondo la Niebler, il nuovo Regolamento “consentirà all’UE di tenere il passo con i rischi per la sicurezza nel mondo digitale per gli anni a venire. La legislazione è una pietra angolare per far sì che l’Europa diventi un attore globale nel campo della sicurezza informatica. I consumatori, così come l’industria, devono potersi fidare delle soluzioni informatiche”.

Articolo già pubblicato in data 12 marzo 2019 e aggiornato in seguito alla pubblicazione del Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 (Cybersecurity Act) sulla Gazzetta ufficiale dell’Unione europea L 151/15 del 7.6.2019

@RIPRODUZIONE RISERVATA

Articolo 1 di 5