Grazie all’intesa trovata tra Parlamento, Consiglio e Commissione Ue sarà introdotta l’etichetta per certificare i prodotti “cybersicuri”. Questo provvedimento porta l’Italia a conformarsi con quando già fatto in Europa già dal 2019, momento cui è stato adottata una certificazione per i prodotti e servizi Tic (le tecnologie dell’informazione e della comunicazione).
La proposta di decreto legislativo riguardante la certificazione cyber per le tecnologie dell’informazione e della comunicazione (Tic), è stata portata al tavolo del Cdm e prevede un “bollino blu” che indicherà quali prodotti sono sicuri pregi utenti.
Nel nuovo decreto il governo incarica ufficialmente l’Agenzia per la cybersicurezza nazionale (Acn), diretta da Roberto Baldoni e l’Autorità delegata Franco Gabrielli, come “Autorità nazionale di certificazione della cybersicurezza” andando così a sostituire il Mise (Ministero per lo sviluppo economico) in questo specifico compito. Già adesso l’Agenzia è operativa sul controllo del perimetro cyber, la rete di controlli e verifiche dei Cvcn (centri di valutazione e certificazione nazionale) che monitora la sicurezza degli strumenti utilizzati dagli enti nazionale e delle Pa. Inoltre, l’Agenzia è già centro di raccordo italiano per il centro di competenza cyber europeo di Bucarest.
Questo provvedimento è il primo passo per un futuro sempre più attento ai problemi legati alla cyber sicurezza e sarà corredato da controlli più presenti e norme più stringenti. Per questo si prevede anche che si creeranno nuove figure professionali che si occuperanno di operare in questo settore, attraverso la formazione, il controllo e la gestione della sicurezza online. La cybersicurezza non sarà più solo una questione tecnica ma diventerà sempre più all’appannaggio di tutti.
Cosa si intende per prodotti cybersicuri?
Il decreto prevede l’introduzione di etichette facoltative, e non, per certificare i prodotti “cybersicuri”, come per gli elettrodomestici o le smart car, per tutti quei prodotti che possono essere soggetti ad attacchi informatici, compresi anche i software.
Il nuovo sistema avrà diversi livelli di valutazione:
- di base, per il quale basteranno test interni e sarà possibile produrre un’autocertificazione.
- sostanziale, per il quale la valutazione di sicurezza sarà effettuata a livello superficiale per verificare che non possano avvenire incidenti ed attacchi informatici di minor gravità.
- elevato, per il quale sarà necessaria l’approvazione degli organi della sicurezza e l’esame sarà effettuato in maniera più profonda. Saranno effettuati test specifici per verificare che non possano avvenire attacchi informatici di grave entità, che possano compromettere più livelli di sicurezza.
Il valore del bollino di sicurezza sarà valido e uguale in tutti i Paesi Ue. I certificati verranno rilasciati da appositi centri, organismi indipendenti autorizzati. All’inizio la certificazione sarà facoltativa, ma la questione sarà poi rivista nel 2023. I certificati di livello più alto, quelli elevati, saranno rilasciati direttamente dall’agenzia attraverso l’Organismo di Certificazione della Sicurezza Informatica (OCSI).
In questo contesto l’Enisa, L’Agenzia dell’Unione europea per la cybersicurezza, incaricata di creare le condizioni per un elevato livello di sicurezza digitale in tutta Europa, avrà un ruolo ancora di maggior rilievo. Tra le diverse altre operazioni che dovrà seguire, dovrà coordinare le risposte dei degli stati membri in caso di cyberattacchi. Per assicurare una risposta pronta ed efficace saranno previste esercitazioni, percorsi di formazione e redazione di procedure univoche e condivide da tutti.
Il decreto prevede che in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza e dell’articolo 65 del Regolamento sulla cybersecurity, l’agenzia possa produrre sanzioni.
Standard di sicurezza nel tempo
La procedura attuale prevede che i prodotti tecnologici e informatici debbano rispondere a degli standard minimi di sicurezza prima di essere immessi sul mercato. Ma non è sempre stato così.
- Dal 1995 esiste una struttura per la certificazione della sicurezza di sistemi e dei prodotti tecnologici, utilizzabile esclusivamente nell’ambito della sicurezza nazionale; quindi, solo quei prodotti e servizi che trattano informazioni classificate.
- Nel 2003 è stato istituito un secondo Schema Nazionale idoneo a fornire servizi di certificazione a tutti in prodotti utilizzati nell’ambito della sicurezza nazionale e ai sistemi Ict che trattano informazioni classificate. La definizione degli Schemi si basa sugli standard di riferimento Common Criteria ed ITSEC.
La prossima tappa del nuovo piano per la sicurezza prevede il 30 giugno 2022 l’avvio dell’operatività del Centro di Valutazione e Certificazione Nazionale, per la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato.
In conclusione, il “bollino di sicurezza” andrà ad affiancare strumenti già attivi e funzionanti come il GDPR, e la certificazione di sicurezza attiva, al fine di rendere le persone ancora più sicure nella cessione delle informazioni e dall’altro lato aumenterà la trasparenza della fruizione di tali informazioni da parte delle aziende certificate. Inoltre, renderà anche più sicuri i sistemi attraverso i quali avvengono gli scambi.
Tutela Digitale ha già fatto il punto della situazione sulla cybersicurezza con Sofia Scozzari, CEO di HACKMANAC e membro del CLUSIT, puoi riascoltare il podcast qui.
Per Approfondire
https://www.acn.gov.it/notizie/contenuti/circolare-sulla-diversificazione-di-prodotti-e-servizi-tecnologici-di-sicurezza-informatica
https://www.ecs-org.eu/newsroom/ecso-proudly-launches-its-label-cybersecurity-made-in-europe
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=PT
