La cybersicurezza in Europa è certificata. Lo prevede il D.Lgs. n. 123/2022 che ha adeguato la legislazione italiana al regolamento Ue n. 2019/881.

L’argomento, affrontato dal citato decreto, è la certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.

È un argomento importantissimo per il mercato del terzo millennio. Cerchiamo di spiegare il senso e lo scopo di questa disciplina.

Le imprese, i professionisti, le pubbliche amministrazioni, gli organismi no profit e in genere tutte le persone sviluppano le loro attività professionali e (per le persone fisiche) le attività concernenti la loro vita privata e di relazione usando necessariamente strumenti, dispositivi e reti elettroniche.

Il “virtuale” convive e, forse già, sovrasta il reale.

La questione cruciale è che non si è raggiunta la piena padronanza del mezzo elettronico, di cui non si conoscono nemmeno le possibili evoluzioni.

Pertanto, pur nella suggestiva e ingannevole apparenza della facilità di utilizzo di elaboratori, applicazioni e reti, la popolazione mondiale è occupata in un planetario e costante esperimento di nuove tecniche.

Tutto ciò, però, non è senza danni collaterali: le macchine dipende come le usi, possono risolvere problemi o fare del male.

Anche il crimine, il terrorismo, il dispotismo politico giocano un ruolo nel mondo virtuale ed è un gioco pericolosissimo, perché causa il sentimento di incertezza, di repulsione e di paura, in una cornice di ansia ineliminabile: le imprese, le altre organizzazioni e gli individui non possono fare a meno di convivere nella dimensione virtuale con cibercriminali, ciberterroristi, ciberdittatori.

A fronte di questo fenomeno universale, la legislazione europea ha fatto una scelta e cioè di responsabilizzare gli operatori e le persone: a loro incombe di proteggersi e di proteggere gli altri. Le sovranità statali, così facendo, riconoscono di non essere in grado di pattugliare le strade elettroniche, di individuare i colpevoli digitali e punirli, disincentivando atti di criminalità informatica.

Agli operatori e ai singoli il compito di ergere barriere protettive, con la prospettiva di una sanzione se omettono o eludono questa incombenza: è come dire di mettere la porta blindata, perché se poi entrano i ladri, il proprietario di casa sarà multato. C’è chi legge questa ricostruzione come un atto di fiducia agli operatori, che devono ritagliarsi la sicurezza informatica loro confacente; c’è chi lamenta che tutto ciò è un abbandono a compiere delle scelte che potrebbero (soprattutto a posteriori di un data breach) non risultare efficaci, considerato che, come usano dire gli esperti informatici, la sicurezza al 100% è un’utopia. Quest’ultimo orientamento non disdegnerebbe una disciplina di dettaglio o almeno un po’ più dettagliata della mera norma programmatica additante l’obiettivo (assicurare la sicurezza informatica, ma senza dire come).

 

In questo quadro si inserisce la materia delle certificazioni, che rappresenta un tentativo di dare qualche norma di dettaglio in più, ma su un piano tecnico e non normativo e allevia l’ansia degli operatori, dicendo loro che se ottengono una certificazione, allora, hanno una carta per dimostrare la compliance a riguardo della sicurezza.

Trattandosi di norme tecniche, la sovranità statale ha affidato ai tecnici il destino delle norme legislative. Ad altri la valutazione della corrispondenza di questa delega ai fondamenti della democrazia rappresentativa. Stando al diritto positivo, il sistema delle certificazioni opera nella direzione della certezza: l’operatore certificato è più certo di essere in regola e l’utilizzatore dei sistemi certificati distribuiti dagli operatori è più certo rispetto ai pericoli della rete: questo perché c’è stato un organismo certificatore che ha vagliato processi, prodotti, servizi e ne ha attestato (come un notaio) che sono conformi alle norme tecniche.

Questo è anche il percorso che dal regolamento Ue n. 2019/881 ha portato al decreto legislativo in esame, che armonizza l’ordinamento italiano al quadro europeo sulla certificazione della cybersecurity.

Rammentando che i regolamenti Ue sono fonti direttamente applicabili negli stati membri, il decreto legislativo approfondisce i profili rinviati ai singoli stati dell’Unione, ovvero l’individuazione dell’autorità nazionale di riferimento per il settore della certificazione della cybersicurezza, con l’articolazione delle relative attribuzioni e le sanzioni amministrative per violazioni della disciplina settoriale.

 

L’ambito oggettivo della disciplina riguarda trasversalmente tutti i settori, che esprimono un bisogno di cybersicurezza:

- i processi di cybersicurezza delle organizzazioni;

- i componenti dei sistemi di controllo delle automazioni industriali (IACS), che riguardano i settori energetico, trasporti e distribuzione dell’acqua;

- i dispositivi Iot (internet delle cose);

- i sistemi di crittografia e l’intelligenza artificiale.

Lo scopo diretto del combinato disposto di regolamento Ue e decreto di armonizzazione è portare a compimento il sistema e i flussi della certificazione (organismi accreditanti, organismi certificanti, vigilanza sulle certificazioni e così via); l’obiettivo sostanziale è avere processi, prodotti e servizi conformi agli standard della sicurezza cibernetica.

Per raggiungere queste finalità, il regolamento Ue n. 2019/881 ha tracciato un quadro di certificazione della cybersicurezza armonizzato, così da superare la frammentazione attuale del mercato interno dei certificati di cybersicurezza e rendere maggiormente affidabili per il consumatore i prodotti e i servizi che utilizzano tecnologie dell’informazione e della comunicazione (TIC). Armonizzazione nella Ue, inoltre, significa anche mutuo riconoscimento dei certificati di cybersicurezza in tutta l’Unione.

Per il coordinamento con le legislazioni dei singoli paesi membri era necessario, innanzi tutto, individuare l’autorità nazionale di certificazione della cybersicurezza, con incombenze che vanno dalla supervisione, alla regolazione, dal rilascio, in alcuni casi, delle certificazioni, alla irrogazione delle sanzioni amministrative pecuniarie e interdittive e, infine, all’esercizio del potere di revoca dei certificati emessi in Italia.

 

Il decreto legislativo approvato dal Governo ha risposto alle domande del regolamento Ue 2019/881, innanzi tutto, designando l’Agenzia per la cybersicurezza nazionale quale autorità nazionale di certificazione della cybersicurezza.

Quanto ai compiti della stessa, il decreto in esame prescrive che l’agenzia vigila sul mercato in ambito italiano ai fini della corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformità; può svolgere indagini e audit nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei di cybersicurezza e degli emittenti le dichiarazioni di conformità UE.

Inoltre, l’Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI).

Infine, l’Agenzia può realizzare progetti di ricerca, inclusi quelli per lo sviluppo di software, e di formazione, anche in collaborazione con università, centri di ricerca o laboratori specializzati nel campo della valutazione della sicurezza informatica.

Il decreto legislativo chiarisce precisa che la certificazione della cybersicurezza è volontaria, salvo diversamente specificato dalla legge e diverse regolamentazioni tecniche nazionali.

Peraltro, si aggiunge che in mancanza di un diritto dell’Unione armonizzato, l’Agenzia può adottare, previa consultazione con i portatori di interesse, regolamentazioni tecniche nazionali in cui sia prevista una certificazione obbligatoria nel quadro di un sistema europeo di certificazione della cybersicurezza.

All’Agenzia è anche attribuito il potere sanzionatorio per violazioni relative alle certificazioni, con sanzioni pecuniarie non inferiori nel minimo a 15 mila euro e non superiori nel massimo a 5 milioni di euro.

Tra gli illeciti puniti si ricordano:

- l’emissione di certificati di cybersicurezza non conformi;

- le false dichiarazioni del richiedente la certificazione;

- l’omissione da parte del titolare di un certificato europeo di cybersicurezza della notificazione di eventuali vulnerabilità o irregolarità rilevate in relazione alla sicurezza dei prodotti TIC, servizi TIC o processi TIC certificati o la violazione delle condizioni di utilizzo degli eventuali marchi o etichette previste da un sistema europeo di certificazione.

 

 

Fonte: IPSOA