Regolamento UE 2019/881 sulla cibersicurezza


8 Settembre 2022
Condividi

Oggi la cibersicurezza, in un mondo sempre più digitalizzato e connesso, è diventata fondamentale, proporzionalmente al processo di informatizzazione della società tutta. Molti sono stati, dunque, gli interventi dell’Unione Europea (e molti ancora ce ne saranno in futuro), in relazione ad un ambito, quello delle tecnologie digitali, in continua evoluzione.

Facciamo quindi un quadro generale del tema della cibersicurezza e delle presenti, e future, disposizioni europee.

Cos’è la cibersicurezza

La cibersicurezza è la pratica di proteggere sistemi, reti, programmi da attacchi informatici (interni o esterni) che possono arrecare importanti danni (diretti o indiretti) di natura economica, politico-sociale, di reputazione, ecc., a un’organizzazione, a un’impresa, a un privato.

Essa è data dall’insieme dei mezzi, delle tecnologie e delle procedure atti a proteggere i sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni informatici stessi. Nella sua progettazione sono quindi coinvolti elementi tecnici, organizzativi, giuridici e umani.

La sicurezza informatica è un tema molto importante proprio per la crescente informatizzazione della società e dei servizi, sia pubblici che privati. L’interesse per la sicurezza dei sistemi informatici è infatti cresciuto negli ultimi anni in maniera proporzionale alla loro diffusione e al ruolo da essi svolto nella società. Se da una parte la globalizzazione ha portato innumerevoli opportunità, è anche vero che espone economia e società a molteplici minacce, fra cui appunto quelle informatiche.

Infatti settori cruciali quali trasporti, energia, sanità, finanza, PA, e così via, dipendono sempre di più dalle tecnologie digitali per la gestione delle loro attività. Poiché le minacce e i reati informatici stanno aumentando in tutta Europa in termini sia quantitativi che qualitativi, è prioritario per l’Unione Europea dotarsi di misure preventive, difensive e di risposta, per migliorare le sue capacità di salvaguardare l’integrità, la sicurezza e la resilienza dell’infrastruttura digitale così come delle reti e dei servizi di comunicazione.

Gli attacchi informatici sono solitamente finalizzati all’accesso, alla trasformazione o alla distruzione di informazioni sensibili, ma anche all’estorsione di denaro o all’interruzione dei processi aziendali. La criminalità informatica può assumere varie forme e avere diversi scopi, come:

  • acquisire il controllo di dispositivi personali
  • sottrarre o compromettere dati personali e proprietà intellettuale per commettere frodi
  • utilizzare Internet e le piattaforme social per distribuire contenuti illegali
  • utilizzare la darknet per vendere beni illeciti e servizi di pirateria informatica

C’è da considerare che gli attacchi informatici comportano delle onerose perdite in termini economici: l’esposizione delle informazioni personali dei clienti rappresenta infatti uno dei costi più elevati per le aziende che hanno subito un attacco. A titolo esemplificativo, la violazione dei dati aziendali costa in media 3,86 milioni di dollari. Gli attacchi peggiori sono quelli perpetrati da gruppi finanziati da stati sovrani, che possono causare perdite pari a 4,43 milioni di dollari.

Nel quadro di Europol è stato istituito nel 2013 il Centro europeo per la criminalità informatica (EC3) che aiuta i paesi dell’UE a indagare i reati online e a smantellare le reti informatiche criminali, nonché sviluppare strumenti e fornire formazione.

Interventi dell’UE sulla cibersicurezza

Una delle principali questioni relative alla cibersicurezza, e su cui si è concentrata (e si concentra ancora oggi) l’attenzione dell’UE, è quella relativa alla creazione di una regolamentazione europea unificata e coerente, per prevenire e rispondere agli attacchi informatici e per giudicare e punire i crimini informatici. Infatti la presenza di regolamentazioni differenti nei vari Stati membri ha sempre comportato frammentazioni e difficoltà normative. A tal proposito, negli anni sono stati vari gli interventi dell’Unione Europea al fine di regolamentare, all’interno della stessa, la materia della cibersicurezza.

Prime regolamentazioni UE

L’UE ha iniziato a lavorare sulla sicurezza informatica nei primi anni 2000. Un anno molto importante è stato il 2004, quando l’UE ha approvato il Regolamento (CE) 460/2004 che istituiva l’Agenzia europea per la sicurezza delle reti e dell’informazione (poi dal 2019 Agenzia dell’Unione Europea per la cibersicurezza, o ENISA), con lo scopo di migliorare la sicurezza informatica e delle reti di telecomunicazioni dei paesi UE, contribuendo allo stesso tempo allo sviluppo di una cultura della sicurezza delle informazioni e delle reti a beneficio dei cittadini, dei consumatori, delle imprese e del settore pubblico europei e, di conseguenza, favorire lo sviluppo del mercato interno dell’Unione stessa.

Altro scopo dell’Agenzia era, ed è, assistere la Commissione europea e gli Stati membri per accrescerne le capacità di prevenire e affrontare i problemi di sicurezza delle reti e delle informazioni e di reagire alle criticità, fornendo loro assistenza e consulenza e contribuendo allo sviluppo generale di un alto livello di competenze. L’attività è poi quella di coordinare l’operato degli Stati membri e favorire il dialogo intra-europeo, attraverso l’elaborazione di linee guida.

Il Regolamento (CE) 460/2004 è stato poi successivamente modificato dal Regolamento (CE) n. 1007/2008 e, ancora, dal Regolamento (UE) n. 580/2011, abrogato a sua volta dal Regolamento (UE) n. 526/2013 con cui si è arrivati all’approvazione della prima vera “Strategia” dell’Unione Europea per la cibersicurezza, con lo scopo di evidenziare l’importanza del fattore TIC (tecnologie dell’informazione e della comunicazione) nell’era moderna, costituendo questo un aspetto fondamentale della vita sociale e della crescita economica dei paesi europei. Infatti la dipendenza del settore industriale e di molte infrastrutture nazionali dai sistemi digitalizzati e da Internet cresce sempre più, per cui è fondamentale dotarsi di strumenti funzionali. Il documento delinea cinque priorità per fronteggiare le minacce cibernetiche:

  • raggiungere la ciberresilienza;
  • ridurre il cybercrime;
  • sviluppare una politica e una capacità di ciberdifesa connesse alla Politica di sicurezza e di difesa comune (PSDC), essendo diventata ormai la strategia informatica uno strumento di guerra indiretta;
  • sviluppare le risorse industriali e tecnologiche per la cibersicurezza in Ue;
  • creare una politica internazionale coerente

Direttive NIS

Per quanto riguarda la storia recente, fondamentale è stata la Direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS), adottata dal Parlamento europeo nel luglio 2016 e che ha definito le disposizioni minime in materia di pianificazione, scambio di informazioni, cooperazione e obblighi di sicurezza comuni a tutti gli Stati membri dell’Unione. Essa è stata introdotta quale prima misura legislativa in assoluto per tutta l’UE volta ad accrescere la cooperazione tra gli Stati membri sulla questione della cibersicurezza e ha definito obblighi di sicurezza per gli operatori di servizi essenziali (in settori critici come l’energia, i trasporti, la sanità, la finanza) e i fornitori di servizi digitali (mercati online, motori di ricerca, servizi cloud). Si è trattato del primo atto legislativo sulla sicurezza informatica approvato dall’Unione Europea e costituisce una delle iniziative normative della strategia di sicurezza informatica per il decennio digitale dell’UE.

Nuova Direttiva NIS 2020

Considerando il rapido sviluppo del mondo digitale, la Commissione UE ha ritenuto necessario aggiornare la Direttiva NIS per fornire risposte adeguate. Nel dicembre 2020 è stata proposta una strategia pluriennale per la cibersicurezza ed è stata presentata una Direttiva NIS (NIS 2) per sostituire e aggiornare quella precedente, rispondendo al nuovo panorama di minacce e alla trasformazione digitale, accelerata dalla crisi COVID-19. La Direttiva deve essere ancora approvata formalmente.

La Direttiva elimina la distinzione tra Operatori di Servizi Essenziali (OSE, ovvero fornitori di servizi come energia, trasporti, sanità, sistemi bancari, ecc.) e Fornitori di Servizi Digitali (FSD, ovvero persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca), e le aziende vengono classificate in “essenziali” e/o “importanti” a seconda della criticità dei servizi che offrono, con regimi di vigilanza diversi.

Inoltre, introduce la regola della soglia di dimensione, includendo tutte le entità con più di cinquanta dipendenti e con un fatturato annuo superiore ai 10 milioni (nella prima Direttiva spettava agli Stati nominare gli operatori dei servizi essenziali). Anche l’ambito di applicazione viene ampliato comprendo più servizi, come la produzione di prodotti farmaceutici, medici e chimici, il settore alimentare, la gestione delle acque reflue e dei rifiuti, i social media, la pubblica amministrazione. Sono esclusi dall’applicazione della norma i soggetti operanti nei settori di difesa, pubblica sicurezza e giustizia.

Ancora, la Direttiva rafforza il potere delle autorità nazionali con requisiti di controllo più rigorosi: le autorità statali assumono il potere di sottoporre entità essenziali a ispezioni in loco e supervisione fuori sito, controlli casuali, richieste di accesso a dati, documenti o informazioni necessarie per la supervisione.

Un altro punto chiave è il reporting all’autorità pubblica di incidenti informatici: sarà infatti obbligatorio segnalare entro 24 ore all’autorità pubblica di competenza e ai soggetti che usufruiscono del servizio l’attacco informatico che compromette il funzionamento del servizio o la divulgazione di dati sensibili, nonché le azioni che si intende intraprendere per limitare il danno. Sarà poi necessario inviare, entro 72 ore, un report dettagliato.

Le multe in caso di inadempimento sono elevatissime: fino a 10 milioni di euro per entità essenziali, e 7 milioni entità importanti.

Regolamentazione UE 2019/881 sulla cibersicurezza

Il 27 giugno 2019, è entrato in vigore il Regolamento (UE) 2019/881, con due scopi principali:

  • rafforzare il ruolo dell’ENISA, ribadendone obiettivi, compiti e aspetti organizzativi
  • definire un quadro UE per l’introduzione di sistemi europei di certificazione della cibersicurezza dei prodotti, dei servizi e dei processi TIC e per evitare la frammentazione del mercato interno

Il Regolamento ha lo scopo di rendere sicuro il mercato unico digitale, di favorire un elevato livello di cibersicurezza, di cyber-resilienza e di fiducia all’interno dell’Unione. È entrato in vigore 20 giorni dopo la sua pubblicazione in Gazzetta Ufficiale L. 151 dell’UE il 7 giugno 2019, abrogando dal 27 giugno 2019 il precedente Regolamento. In particolare, alcune norme del Titolo III sulle “Autorità nazionali di certificazione della cibersicurezza”, ovvero gli articoli 58 (Autorità nazionali di certificazione della cibersicurezza), 60 (Organismi di valutazione della conformità), 61 (Notifica), 63 (Diritto di presentare un reclamo), 64 (Diritto a un ricorso giurisdizionale effettivo) e 65 (Sanzioni) sono entrate in vigore dal 28 giugno 2021.

Tale Regolamento si inserisce in un quadro europeo già regolato dal Regolamento UE 2016/679 in materia di protezione dei dati, ponendosi come obiettivo quello di fornire una strategia di sicurezza informatica comune a tutti gli Stati membri, al fine di prevenire e/o reprimere gli attacchi informatici.

Di cosa si compone il Regolamento

Il Regolamento UE contiene 69 articoli divisi in 4 Titoli.

I titoli I e IV riguardano rispettivamente le Disposizioni generali e le Disposizioni finali; i titoli più importanti sono il Titolo II che regola il funzionamento dell’Agenzia europea (in particolare l’art. 8 riguarda il potere di certificazione della cibersicurezza dei prodotti, dei servizi e dei processi TIC) e il Titolo III che detta il Quadro di certificazione della cibersicurezza richiesto dall’art.8. Tale quadro contiene regole che dovranno essere applicate in Italia con il Decreto legislativo n.123/2022 (link interno).

Il Regolamento prevede anche l’istituzione del Gruppo europeo per la certificazione della cibersicurezza (ECCG, art.62) composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza o da rappresentanti di altre autorità nazionali competenti.

Inoltre il regolamento prevede che si introducano per i prodotti, i servizi e i processi TIC vari livelli di affidabilità (art.52):

  • di base
  • sostanziale
  • elevato

Il livello è commisurato al rischio associato all’uso del prodotto, servizio o processo TIC. Ad esempio il certificato di cibersicurezza per il livello di affidabilità sostanziale assicura che i prodotti, i servizi e i processi TIC rispettano i corrispondenti requisiti di sicurezza e sono valutati a un livello inteso a ridurre al minimo i rischi connessi ad attacchi e incidenti informatici causati da soggetti dotati di abilità e risorse limitate; invece il certificato di cibersicurezza per il livello di affidabilità elevato assicura che i prodotti, i servizi e i processi TIC rispettano i corrispondenti requisiti di sicurezza e sono valutati a un livello inteso a ridurre al minimo i rischi connessi ad attacchi e incidenti informatici avanzati commessi da soggetti dotati di abilità e risorse significative.

Il Regolamento oltre a regolare le caratteristiche e le finalità della certificazione e le valutazioni svolte sui prodotti, servizi e processi TIC da certificare, prevede anche sanzioni effettive, proporzionate e dissuasive (art.68) applicabili in caso di violazione dello stesso e il diritto di presentare un reclamo (art.63) all’emittente di un certificato europeo di cibersicurezza o un ricorso (art.64) per le decisioni assunte dall’autorità o dall’organismo di valutazione della conformità.

Nel caso specifico delle sanzioni, L’UE compie considerevoli sforzi per proteggersi dalle minacce informatiche provenienti da paesi terzi, soprattutto con una risposta diplomatica comune chiamata “pacchetto di strumenti della diplomazia informatica“, che prevede la cooperazione e il dialogo diplomatici.

Il quadro consente all’UE di imporre sanzioni a persone o entità responsabili di attacchi informatici o tentati attacchi informatici, che forniscono sostegno finanziario, tecnico o materiale per tali attacchi o che sono coinvolte.

Di cosa si occupa ENISA

L’Agenzia finora aveva il compito di fornire assistenza tecnica agli Stati membri e alle Istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informatici, mentre dal 2019, col Regolamento, può anche svolgere attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri.

In base all’art.8 l’ENISA sostiene e promuove la certificazione della cibersicurezza dei prodotti, dei servizi e dei processi TIC:

  • monitorando gli sviluppi nei settori di normazione connessi e raccomandando adeguate specifiche tecniche ai fini dello sviluppo di sistemi europei di certificazione della cibersicurezza
  • preparando proposte di sistemi europei di certificazione della cibersicurezza
  • valutando i sistemi europei di certificazione della cibersicurezza adottati
  • partecipando a valutazioni inter pares
  • assistendo la Commissione nel provvedere alle funzioni di segretariato dell’ECCG (European Consumer Consultative Group) a norma dell’articolo 62, paragrafo 5.

Certificazione della cibersicurezza

Il quadro delle certificazioni mira ad aumentare il livello di cibersicurezza all’interno dell’UE per un approccio comune dei sistemi europei di certificazione della cibersicurezza, creando un mercato unico digitale. Per questo è necessario istituire sistemi europei di certificazione e attestare che i prodotti, i servizi e i processi TIC siano conformi a determinati requisiti di sicurezza.

I sistemi europei di certificazione sono progettati per conseguire i seguenti obiettivi di sicurezza definiti dal Regolamento (art. 51):

  • proteggere i dati conservati, trasmessi o trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto, del servizio o del processo TIC;
  • proteggere i dati conservati, trasmessi o trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto, del servizio o del processo TIC;
  • le persone, i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso;
  • individuare e documentare le dipendenze e vulnerabilità note;
  • registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
  • fare in modo che si possa verificare quali siano i dati, i servizi o le funzioni a cui è stato effettuato l’accesso;
  • verificare che i prodotti, i servizi e i processi TIC non contengano vulnerabilità note;
  • ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico;
  • il software e l’hardware dei prodotti, dei servizi e dei processi TIC devono essere aggiornati, non contenere vulnerabilità e devono disporre di meccanismi per effettuare aggiornamenti protetti.

Gli schemi di certificazione vengono predisposti dall’ENISA e adottati mediante atti di esecuzione da parte della Commissione europea e pubblicati sul sito web dell’ENISA (artt. 47-50 Reg.to UE 2019/881). Le aziende interessate possono presentare domanda di certificazione dei propri prodotti o servizi a specifici organismi accreditati, salvo per i prodotti o i servizi a basso rischio per i quali lo schema di certificazione consente all’azienda di procedere ad una autovalutazione di conformità (art. 53 Reg.to UE 2019/881).

Va sottolineato che la certificazione della cibersicurezza è volontaria, salvo diversamente specificato dal diritto dell’Unione o degli Stati membri.

Autorità nazionali per la Cibersicurezza

Ciascuno Stato membro UE deve istituire una propria autorità nazionale di certificazione della cibersicurezza (in Italia esiste l’Agenzia per la cibersicurezza nazionale) con compiti specifici, che deve essere sottoposta a una “valutazione inter pares” (art.59), valutazione funzionale a ottenere norme equivalenti in tutta l’Unione.

Relazione su ENISA e requisiti di Cibersicurezza ogni 5 anni

Entro il 28 giugno 2024, e successivamente ogni cinque anni, la Commissione dovrà valutare l’impatto e l’efficacia dell’ENISA. La Commissione dovrà poi trasmettere la relazione di valutazione e le sue conclusioni al Parlamento e al Consiglio europei; tale valutazione deve essere effettuata ogni 5 anni.

Obiettivi futuri della strategia Ue sulla cibersicurezza

L’obiettivo della strategia di cibersicurezza dell’UE è di rafforzare la resilienza collettiva dell’Europa facendo affidamento su servizi e dispositivi digitali affidabili e infrastrutture critiche resilienti. La strategia si articola su tre aree: resilienza e sovranità tecnologica, sviluppo di capacità operativa di prevenzione, deterrenza, risposta e collaborazione internazionale.

Per quanto riguarda resilienza e sovranità tecnologica, la Commissione intende creare una rete di Security Operation Centres (SOCs) in grado di rilevare i segnali di un attacco informatico e condividere informazioni con settore pubblico e privato. Questa rete dovrebbe essere la prima linea di difesa dell’UE (European Cyber Shield). La Commissione ha programmato l’investimento di 110 milioni di euro.

Per quanto riguarda la capacità operativa di prevenzione, deterrenza e risposta, la Commissione intende creare una nuova unità congiunta per la cibersicurezza (Joint Cyber Unit) per rafforzare la collaborazione tra autorità nazionali, Europol, l’Agenzia Europea per la cibersicurezza (Enisa) e la comunità civile, diplomatica e di difesa. La Commissione vuole poi investire in ciberdifesa attraverso l’Agenzia Europea per la Difesa (EDA) e il Fondo Europeo per la Difesa (EDF). Per aumentare la collaborazione tra il settore pubblico e privato, la Commissione ha fondato un Centro di competenza per la cibersicurezza (ECCC) con sede a Bucarest; si tratta di un’agenzia incaricata di finanziare progetti di ricerca sulla sicurezza informatica e di coordinare la collaborazione tra una rete di centri nazionali di coordinamento (NCC) e la comunità, intesa come insieme di aziende, università e istituti di ricerca.

L’ultimo punto della strategia per la cibersicurezza europea comprende la collaborazione internazionale per promuovere un ordine globale basato su valori e regole comuni. Grazie ad accordi internazionali l’intenzione dell’UE è quella di avere capacità di deterrenza e di reazione verso paesi digitalmente aggressivi come Russia, Cina, Iran e Corea del Nord, consentendo all’UE di utilizzare sanzioni economiche e pressioni internazionali.

Cyber Resilience Act

Fra i nuovi interventi tesi a rendere l’Unione Europea più sicura a livello digitale c’è il regolamento per la cyber resilienza (Cyber Resilience Act o CRA) che propone requisiti minimi di cibersicurezza per tutti i prodotti e servizi digitali in maniera trasversale a tutti i settori. Il CRA sarà un punto di svolta negli anni a venire, in quanto rappresenterà un’opportunità per le aziende europee per differenziarsi sul mercato internazionale e vendere prodotti certificati con i più stringenti requisiti di cybersicurezza e, di conseguenza, accettati non solo in Europa, ma nel mondo intero.

Il Cyber Resilience Act (CRA) è in fase di scrittura in Commissione Europea e la proposta ufficiale è in programma per settembre 2022.

L’obiettivo del CRA è quello di stabilire un livello minimo di cybersicurezza per tutti i dispositivi digitali (sia a livello di software sia a livello di hardware) venduti nel mercato interno dell’UE. Con il CRA i produttori di dispositivi e servizi digitali saranno tenuti a fornire aggiornamenti di sicurezza e sanamento delle vulnerabilità per tutto il ciclo di vita del prodotto o almeno per un periodo di cinque anni. 

Conclusioni

Che la cibersicurezza sia una delle priorità dell’UE (anche in risposta alla pandemia di COVID-19, durante la quale si è registrato un aumento degli attacchi informatici) è dimostrato dagli investimenti previsti in questo settore: nel quadro del programma Europa digitale per il periodo 2021-2027 l’UE si è impegnata a investire 1,6 miliardi di euro nel campo della cibersicurezza, che va di pari passo con il processo di transizione digitale.

Anche nell’ambito del programma Orizzonte Europa (il principale programma di finanziamento dell’UE per la ricerca e l’innovazione) sono previsti importanti finanziamenti: nel maggio 2020 l’UE ha investiti 49 milioni di euro per promuovere l’innovazione nei sistemi di cibersicurezza e privacy.

Ciò dimostra come per l’Unione Europea la cibersicurezza sia diventata sempre di più negli ultimi anni una priorità ineludibile per la propria agenda digitale, con investimenti specifici e proposte legislative, progetti e proposte concrete.

Martina Malavolta

© Riproduzione Riservata

ISCRIVITI ALLA NEWSLETTER

UTILITY TUTTE LE UTILITY
CONTATTACI PER UNA CONSULENZA
P.IVA 03921180612 | Privacy Policy | Revoca consenso cookie