Notizie

Cyber Security e Unione Europea

A cura di Flavio Campara e Alfonso Contaldo

Fonte: Cybersecurity360

Le novità normative UE sulla cyber security, in particolare il Cybersecurity Act e la certificazione della sicurezza informatica di prodotti, servizi e processi ICT. 

La cyber security è ormai un tema di grande attualità nel dibattito italiano ed europeo, anche sulla scia di importanti novità normative come il Perimetro di sicurezza nazionale cibernetica per quanto concerne l’Italia e la nuova strategia europea per la sicurezza informatica.
Il paradosso, però, è che la cyber security sarà davvero parte della nostra quotidianità quando non la distingueremo più dal concetto generale di sicurezza e la concepiremo come la naturale necessità di proteggere noi e la nostra comunità e, quindi, la sentiremo come parte essenziale del nostro agire: così facendo, ogni persona vedrà sé stessa come componente attiva della stessa.
È utile perciò focalizzarsi su alcuni temi e questioni che oggi interessano la cyber security sia a livello definitorio che normativo-regolamentare[1].

Cyber security e cyber defense

Nonostante i numerosi e autorevoli tentativi definitori, sembra forse più opportuno ricondurre la cyber security – una crasi tra i termini “cyberspace” e “security” – a quell’insieme di tecnologie, programmi, processi e tecniche concepiti e messi in atto al fine di proteggere dispositivi, dati e reti informatiche.
Con questo si vogliono richiamare tre concetti: 1) la protezione di contenuti, dati e informazioni; 2) la protezione dell’hardware ossia gli elementi fisici dei dispositivi (pc, smartphone, mainframe, server, …); 3) la protezione legata agli aspetti software (programmi, reti, database, archivi digitali ed altre impostazioni tecnologiche di tale tipo).
Già a partire da queste linee prodromiche di approccio al tema, si deduce che il confine della cyber security risulta piuttosto rarefatto e, in teoria, in possibile espansione.
Se è vero che i sistemi di sicurezza fisici del mondo digitale si sono evoluti nel corso dei secoli, alcuni di essi sono ad ogni modo sempre utili e adeguati in alcune circostanze relativamente semplici (ad esempio per impedire l’accesso ad un luogo, si può usare un lucchetto). Ciò non è esattamente vero in ambito di sicurezza dei sistemi informatici e telematici. Invero, impiegare strumenti di protezione obsoleti non riesce a fornire garanzie di protezione (ad esempio ricorrere ad un antivirus con una definizione dei virus del 1995).
In ambito di cyber security, allora, è sempre e comunque necessario un aggiornamento costante delle tecniche e delle metodologie di protezione.
Non sarà possibile evocare un meccanismo paragonabile al vecchio “lucchetto” del mondo analogico che poteva, entro certi limiti, protegge un archivio nel 1930 così come nel 2020.
Detto in altri termini, la sicurezza informatica non può essere e non sarà mai totale. All’aggiornamento ed al perfezionamento delle tecniche anti-hacking corrisponde, parallelamente, il progresso delle tecniche di hacking; a dire il vero, sono proprio i progressi conseguiti dagli hacker e dai creatori di virus che determinano la crescita qualitativa dei sistemi di protezione.
Insomma, non esiste un sistema di difesa tale per cui, una volta montato, renda per sempre sicure il nostro computer o le nostre reti. Facendo un parallelismo con il mondo biologico, la preda è il sistema attaccato mentre il predatore è il criminale informatico, ricordando che l’evoluzione conduce ad un perfezionamento delle armi di entrambi senza riuscire però a far dominare nessuno dei due. Se ciò accadesse, una delle due specie si estinguerebbe e, nel nostro caso, sarebbe una branca della sicurezza informatica o delle tecniche di aggressione digitali.

Il concetto di cyber defense

Analizziamo ora un secondo concetto, quello della cyber defense appunto. Secondo le indicazioni del CCDCOE, la cyber defense rappresenta una misura proattiva volta a rilevare od ottenere informazioni su un’infrazione informatica, un attacco informatico oppure un imminente operazione informatica ovvero diretta a determinare l’origine di un’operazione che comporta l’avvio di una contromisura preventiva od informatica contro la fonte d’aggressione.
La sottile differenza tra questo ambito rispetto all’impostazione della cyber security si ravvisa nell’oggetto tutelato. Solitamente, le dinamiche connesse alla cyber defense sono strettamente legate a meccanismi di difesa nazionali, sistema militare o paramilitare e protezione delle istituzioni di enti ed organizzazioni governative.
In quest’ottica, la difesa informatica si focalizza sulla prevenzione, sul rilevamento e sulla fornitura di risposte tempestive agli attacchi o alle minacce, cosicché nessuna infrastruttura o informazione possa essere manomessa.
Al crescere del volume e della complessità degli attacchi informatici, la cyber defense è diventata essenziale per la maggior parte delle entità allo scopo di proteggere le informazioni sensibili e salvaguardare le risorse.

Cybersecurity Act e il quadro europeo di certificazione

La nuova strategia dell’Unione Europea per la sicurezza cibernetica si fonda, essenzialmente, su due pilastri principali: l’ormai celebre direttiva NIS e il Regolamento (UE) n. 2019/881, noto anche come Cybersecurity Act (CSA).
Certamente questo regolamento cambierà in profondità la disciplina in materia di cyber security, specialmente perchè ha dettato una cornice normativo-regolamentare europea per la certificazione della sicurezza informatica di prodotti, servizi e processi ICT.
Infatti è proprio qui che si registra il principale portato innovativo del regolamento se confrontato rispetto a quanto dallo stesso previsto riguardo l’ENISA, il cui ruolo è stato riformato e rafforzato.
Il legislatore europeo voleva, da un lato, pervenire ad un quadro europeo di regole sulla certificazione della cyber security che riuscisse ad implementare le condizioni di funzionamento del mercato interno, aumentando il livello di cyber security dell’UE; dall’altro, rendere possibile un approccio armonizzato dei sistemi europei di certificazione al fine di generare un Digital Single Market (DSM) per prodotti, servizi e processi ICT e per incrementare la fiducia degli utenti-consumatori degli stessi.
Nonostante il fatto che esistessero già sistemi di certificazione nella maggior parte dei Paesi UE, molti di questi non sono oggi riconosciuti oltre i confini nazionali o, nella migliore delle ipotesi, solo in alcuni di essi.
Conseguentemente le imprese, per poter operare a livello transnazionale, si vedono obbligate ad avviare diversi processi di certificazione, e ciò comporta inevitabilmente un innalzamento dei costi sostenibili, un impiego ulteriore di risorse disponibili e un prolungamento delle tempistiche per ottenere tale certificazione abilitante.
Oggi, però, grazie al CSA, la generazione di questi sistemi, da elaborare sulla scorta di specifiche categorie di prodotti e servizi, implica che i certificati rilasciati sulla base di questi siano validi e riconosciuti in ogni Paese UE.
In più, il valore “europeo” della certificazione contribuirebbe a migliorare il mercato interno, arginando la creazione di certificazioni nazionali e disarmoniche, potenziali freni allo sviluppo del DSM. In questo modo, si introduce un importante strumento commerciale per certificare l’eccellenza europea nella protezione dei diritti digitali dei propri cittadini.
In aggiunta, questo regolamento dota i produttori europei di un valido strumento per proteggersi dalla concorrenza di players extra-comunitari che vogliono offrire prodotti a prezzi inferiori, lesinando sull’implementazione di misure di sicurezza e di protezione dei dati adeguate.

Il sistema europeo di certificazione della cyber security

Osserviamo adesso i passaggi principali del processo di elaborazione di un sistema europeo di certificazione della cyber sicurezza.
Innanzitutto la Commissione europea deve predisporre e pubblicare il “programma di lavoro progressivo” UE per la certificazione.
Si tratta di un documento – da aggiornare almeno ogni tre anni – che indica le priorità strategiche per i futuri sistemi europei di certificazione della sicurezza cibernetica. In base a questo programma, la Commissione può richiedere all’ENISA di formulare una proposta di sistema o di revisionarne uno già esistente.
Di seguito, l’ENISA ha il compito di confezionare una proposta di sistema – previa consultazione di ciascun stakeholder – che soddisfi alcuni requisiti (artt. 51, 52 e 54, CSA). Questi ultimi rispettivamente disciplinano gli obiettivi di sicurezza, i livelli di affidabilità e gli elementi in ordine ai sistemi europei di certificazione.
Dopo aver ricevuto la proposta dall’ENISA, la Commissione Europea ha il potere di adottare atti di esecuzione, prevedendo un sistema di certificazione per prodotti, servizi e processi ICT secondo i requisiti appena menzionati. Per ogni sistema adottato, è necessario effettuare una valutazione periodica da prodursi minimo ogni cinque anni, prendendo in considerazione quanto espresso dalle parti interessate.

I requisiti da soddisfare

Relativamente al primo requisito, i sistemi di certificazione devono fornire, per tutto il ciclo di vita del prodotto, servizio o processo ICT, un’adeguata protezione ai dati conservati, trasmessi o trattati sia dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati, sia dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzati oppure dalla mancanza di disponibilità.
Riguardo al secondo requisito, tali sistemi devono specificare uno o più livelli di affidabilità (“di base”, “sostanziale” o “elevato”) per ogni prodotto, servizio e processo ICT, che vengono determinati rispetto al grado di rischio associato al loro impiego, in termini di probabilità ed impatto di un incidente, ma che non misurano di per sé la loro sicurezza.
In ordine al terzo requisito, è presente un elenco di elementi minimi (ventidue) che un sistema europeo di certificazione è tenuto a soddisfare (art. 54, CSA).
Proseguiamo dicendo che i prodotti, servizi e processi ICT certificati tramite un sistema europeo vengono considerati conformi ai requisiti di tale sistema. Tuttavia, c’è un elemento che potrebbe depotenziare la portata innovativa del CSA: la certificazione della cybersicurezza rimane volontaria, a patto che non venga diversamente specificato dal diritto dell’UE o degli Stati membri. Per giunta, sarà compito delle autorità nazionali definire eventuali obbligatorietà.
La Commissione deve valutare con cadenza periodica l’efficacia e l’impiego dei sistemi europei di certificazione adottati, nonché l’eventuale necessità di rendere obbligatorio uno specifico sistema mediante appropriate disposizioni normative comunitarie, al fine di garantire l’opportuno livello di cyber security di prodotti, servizi e processi ICT e di implementare il funzionamento del mercato interno.

I livelli di affidabilità

I certificati riferiti ad un livello di affidabilità “di base” o “sostanziale” vengono rilasciati dagli organismi di valutazione della conformità (art. 56, par. 4, CSA), salva l’eccezione prevista dal par. 5.
In caso contrario, il rilascio di certificati per un livello di affidabilità “elevato” spetterà ad un’autorità nazionale di certificazione della cyber security. Tale autorità ha poi il compito di vigilare sulla corretta applicazione delle norme previste dalla certificazione, disponendo di un insieme di poteri minimi istruttori, ispettivi e sanzionatori (art. 58, par. 8, CSA).
Infine, evidenziamo che la validità del certificato dipende dal periodo dichiarato nel sistema di certificazione, e che la condizione per il rinnovo dello stesso è la costante soddisfazione dei requisiti originari.

[1] Entrambi i temi vengono analizzati nel volume “Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla luce delle norme tecniche”, a cura di Contaldo A. e Mula D., Pacini Giuridica, Pisa, 2020. L’intento del volume è fornire una descrizione analitica della disciplina nazionale ed europea sulla cyber security, valorizzando le molteplici e variegate norme tecniche nazionali ed internazionali che, progressivamente, si sono consolidate in materia, e illustrando la graduale e costante espansione delle frontiere della sicurezza cibernetica.

Flavio Campara

Responsabile del Centro Studi & Ricerche e Portavoce affari istituzionali dell'Associazione Consumerismo no profit. Dottore in Scienze delle Pubbliche Amministrazioni (LM) presso l’Università degli Studi Roma Tre, con tesi “Digitalizzazione della Pubblica Amministrazione”, ha all’attivo una serie di pubblicazioni riguardanti le Innovative Technologies, in particolare in ambito blockchain, smart contracts, crytocurrencies, cybersecurity, open data, open government, analizzate secondo una prospettiva giuridica.
Back to top button