Prima il Regolamento 881/2019, il Cybersecurity Act, poi la proposta per il Cyber Resilience Act: si moltiplicano le azioni dell’Europa finalizzate a migliorare la sicurezza per gli Stati membri con normative europee sempre più stringenti e volte alla protezione dagli attacchi cyber. Misure attuate per proteggere sia i produttori sia i consumatori, recepite anche in Italia, come nel caso del D.Lgs. 123/2022 che adegua la normativa nazionale al “Quadro di certificazione della cybersicurezza” del Cybersecurity Act.
E se l’ACN (Agenzia per la Cybersicurezza Nazionale) è l’Autorità scelta per vigilare il mercato e rilasciare alcune tipologie di certificati europei, ad Accredia spetta il compito di monitorare e vigilare le attività degli organismi di valutazione della conformità accreditati.
Infatti, secondo quanto stabilito dal Regolamento prima e dal Decreto poi, il rilascio dei certificati con livello di affidabilità “sostanziale” può avvenire solo a opera di organismi accreditati.
Ma quale garanzia offre questa scelta a Istituzioni, imprese e consumatori? I prodotti, servizi e processi ICT che circolano sul mercato con un certificato europeo di cybersicurezza che si riferisca al livello di affidabilità “sostanziale” rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate.
In caso di non conformità dei certificati con livelli affidabilità “di base” o “sostanziale” in settori chiave (trasporti, energia, banche, finanza, salute, acqua potabile, infrastrutture digitali) l’ACN chiederà all’organismo emittente di provvedere alla revoca entro 5 giorni e, in caso di inadempienza, procederà direttamente alla revoca. Anche per questo, Accredia comunicherà all’ACN e al Ministero dello Sviluppo economico, ogni aggiornamento in merito agli organismi di valutazione accreditati (nuovi accreditamenti, revoche, sospensioni e limitazioni del certificato di accreditamento). A conferma dell’importanza riconosciuta alla certificazione accreditata, così come alle prove di laboratorio, ci sono poi le sanzioni previste sia per l’ambito obbligatorio sia per quello volontario. Per quanto riguarda fabbricanti e fornitori di prodotti/servizi non conformi, sono previste multe fino a 150mila euro, che possono arrivare a 300mila euro, nel caso di mancata notifica di eventuali vulnerabilità o irregolarità rilevate in relazione alla sicurezza dei prodotti/servizi.
Essere in possesso della certificazione accreditata, oltre ad evitare sanzioni, può essere anche un motivo di preferenza e di selezione nei bandi pubblici.
Senza dimenticare il supporto che l’accreditamento potrà dare nell’ambito della formazione. La Strategia Nazionale di Cybersicurezza 2022-2026, varata il 18 maggio scorso dal Comitato Interministeriale per la Cybersicurezza, prevede di sviluppare un ambiente digitale sicuro anche grazie alla partnership tra imprese pubbliche e private, e indica tre obiettivi fondamentali:
- Protezione dagli attacchi
- Risposta alle crisi
- Sviluppo di tecnologie e attitudini che rendano la sicurezza cibernetica una caratteristica fondamentale degli ambienti digitali.
Per raggiungere questi obiettivi si punterà e investirà molto anche nella formazione.
In questa prospettiva, i sistemi di accreditamento di laboratori e organismi di certificazione (di sistemi, processi, prodotti, servizi, persone) potranno facilitare l’ACN e la Pubblica Amministrazione nella scelta di partner qualificati e conformi alle normative di riferimento.
Con lo scopo di analizzare gli strumenti per la cybersecurity nazionale, abbiamo realizzato il nuovo studio dell’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, insieme al Cybersecurity National Lab del CINI (Consorzio Interuniversitario Nazionale per l’Informatica).
Lo presentiamo il prossimo 14 novembre alla Sapienza Università di Roma in occasione del Convegno “Come gestire il rischio informatico? Il contributo dell’accreditamento e della certificazione alla cybersecurity nazionale” insieme ad Antonella Polimeni, Rettrice della Sapienza Università di Roma, Massimo De Felice, Presidente di Accredia, Paolo Prinetto e Alessandro Armando, Direttore e Vice Direttore del Cybersecurity National Lab del CINI, e Roberto Baldoni, Direttore Generale dell’ACN.