A fronte del rapido diffondersi delle nuove tecnologie digitali, l’Unione europea sta adottando misure per garantire la cybersicurezza, aiutando a scongiurare i rischi legati agli attacchi informatici. Fondamentale il tema della sicurezza cibernetica, se si considera che, stando alle previsioni, entro il 2024, nel mondo, saranno 22,3 miliardi i dispositivi collegati all’«Internet delle cose».
Il 6 giugno 2021 si è chiusa la consultazione pubblica avviata dal Ministero dello Sviluppo Economico per raccogliere le osservazioni degli stakeholder maggiormente coinvolti nel sistema nazionale della cybersicurezza sui punti più salienti del Decreto Legislativo che il Governo deve emanare, per adeguare la normativa italiana al titolo III del Regolamento UE 2019/881, Cybersecurity Act “relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione”.
Il Titolo III del Regolamento UE 2019/881 introduce un quadro di certificazione della sicurezza cibernetica nell’Unione europea, nel quale istituire sistemi europei di certificazione della cybersicurezza, per attestare che prodotti, servizi e processi informatici valutati nel loro ambito siano «conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita».
A garanzia della conformità richiesta, il Regolamento UE 2019/881 richiede esplicitamente valutazioni della conformità accreditate, volontarie o obbligatorie, a seconda dei provvedimenti normativi dei singoli Paesi membri o dell’Unione.
Il Regolamento prevede che la Commissione europea prepari un programma di lavoro progressivo per la certificazione della cybersicurezza, nel quale possano confluire i sistemi di certificazione elaborati dai singoli Paesi. La Commissione si avvale di ENISA per vagliare o elaborare proposte di sistemi di certificazione, i cui requisiti sono definiti nel Regolamento stesso.
Il Decreto Legislativo oggetto di consultazione è adottato ai sensi della Legge Delega 53/2021, art. 18 «Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020». Il Decreto individua il Ministero dello Sviluppo Economico quale autorità nazionale competente, attribuendo compiti di vigilanza sull’applicazione a livello nazionale del Regolamento sulla cybersicurezza e dei successivi sistemi europei di certificazione adottati dalla Commissione europea, oltre a compiti di cooperazione con le Autorità designate dagli altri Stati Membri, la Commissione europea e l’agenzia europea ENISA, nella realizzazione e nella revisione del quadro europeo di certificazione.
Invitata a fornire il proprio contributo alla consultazione aperta il 6 maggio, Accredia ha confermato la propria collaborazione nella definizione degli schemi di accreditamento necessari all’attivazione delle certificazioni richieste dalla Commissione europea. Ha inoltre fornito chiarimenti sulle modalità di svolgimento del processo di accreditamento, evidenziando in quali casi è necessario un coordinamento tra l’Ente di accreditamento e il Ministero per gestire le fasi critiche – sospensioni, revoche, reclami e ricorsi, per esempio – e quando è opportuna la partecipazione di un rappresentante dell’Autorità, come accade nell’organo che delibera il rilascio degli accreditamenti.
Nel corso della consultazione si è auspicato, in particolare, che il Ministero favorisca la creazione di un circuito interlaboratorio per consentire l’allineamento delle valutazioni tra i laboratori coinvolti nella cybersicurezza, attraverso il confronto degli esiti delle verifiche svolte sugli stessi campioni. Accredia ha inoltre formulato una considerazione critica a proposito della disposizione che prevederebbe la separazione tra laboratori privati abilitati per l’attività di certificazione e laboratori dedicati alla vigilanza: c’è infatti il rischio che il volume di lavoro non sia tale da mantenere i laboratori di prova in ambiti separati, con pregiudizio dell’attività di vigilanza. Si è proposto, invece, di gestire l’eventuale rischio di conflitto di interesse.
Si prefigurano quindi ulteriori contatti con il Ministero che potranno rafforzare le collaborazioni già in atto e, sempre nel solco tracciato dal Regolamento europeo, permettere nuove sinergie, tra l’esperienza già maturata in materia di cybersicurezza nel mondo privato e la creazione di un sistema pubblico di garanzia e vigilanza, a tutela di interessi sia pubblici sia privati.