Il Regolamento europeo, di per sé, non prevedeva una scelta secca: ciascuno Stato membro avrebbe potuto designare una o più autorità nazionali di certificazione della cibersicurezza sul proprio territorio e proporlo in sede Ue. Così stabiliva il paragrafo 1 dell’articolo 58 del regolamento Ue 2018/881.
L’Italia ha invece scelto una autorità unica, incardinandola dentro al Ministero dello Sviluppo Economico, da oggi ufficialmente a guardia – secondo la Commissione del Senato, di un mercato che vale in Europa già 130 miliardi e cresce al ritmo del 18% all’anno. Ci avevano provato in molti ad ipotecare quel ruolo “autorevole”; sulla carta almeno quattro soggetti potevano nutrire speranze.
Innanzitutto l’Agenzia per l’Italia Digitale (Agid), cioè l’agenzia tecnica della Presidenza del Consiglio. In vista della partita italiana sulla sicurezza aveva redatto e diffuso ad aprile le linee-guida sulle misure minime di sicurezza ICT nelle amministrazioni, al fine di contrastare le minacce informatiche più frequenti e opzionare così, “de facto”, il suo ruolo nazionale di “autorità” in materia. Scartata senza pietà. Al punto che ora si porrà anche il problema della ridefinizione del suo ruolo nel Paese.
Sulla carta qualche speranza la nutriva anche il Clusit, nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano con le sue oltre 500 organizzazioni aderenti che coprono tutti i settori del Sistema-Paese e partecipa alla elaborazione di leggi, norme e regolamenti.
Stessa sorte per l’OCSI, organismo di certificazione della sicurezza informatica che gestisce lo schema nazionale per la valutazione e certificazione della sicurezza dei sistemi e prodotti, gestisce l’accreditamento, la sospensione, e la revoca dell’abilitazione dei Laboratori per la valutazione della sicurezza e degli assistenti di sicurezza.
Cosa succederà in concreto (ma ci sono 12 mesi per l’emanazione di uno o più decreti legislativi per l’adeguamento della nuova normativa nazionale al Titolo III del regolamento Ue)?
Succederà che l’Agenzia dell’Unione Europea per la cybersicurezza, l’Enisa farà adottare i nuovi schemi europei di certificazione conformi al Cybersecurity Act e questi diventeranno esecutivi e disponibili alle aziende europee e che andranno in soffitta tutti i prodotti certificati a livello nazionale. Anche quelli validati da chi avrebbe voluto avere un ruolo di Autorità.
Si tratta di un pezzo importante del puzzle pensato già nel 2017, con la prima normativa comunitaria sulla sicurezza informatica, la direttiva NIS, e proseguita con il regolamento europeo sul trattamento dei dati personali, il famoso GDPR. Il recepimento italiano del mercato unico della cybersecurity in fatto di prodotti, processi e servizi, dovrebbe imprimere maggior fiducia nei consumatori europei che ogni giorno osservano incidenti di percorso come quelli documentati puntualmente da Infosec.
Un maggiore rafforzamento della sicurezza di ciascun Paese europeo è ciò che ancora manca dopo l’entrata in vigore, il 27 giugno del 2019, del Cybersecity Act e ben venga un mercato unico della sicurezza informatica .
- Il Regolamento recepito con l’approvazione del Ddl, ridefinisce anche il ruolo e l’organizzazione dell’ENISA, rendendone permanente il mandato, in sostituzione del suo mandato limitato che sarebbe scaduto proprio quest’anno 2020. Forse anche in previsione di una possibile morte prematura questo centro di expertise è stato stabilito ad Atene con una filiale a Creta. Diciamo pure che a fronte di numerosi, cruciali e altisonanti ruoli ufficiali stabiliti “per tabulas”, Enisa di concreto ha prodotto e dato molto meno, tra cui un manuale del 2017 sulla sicurezza nel trattamento dei dati personali, allo scopo di aiutare le PMI, che agiscono in qualità di titolari del trattamento, a confrontarsi e conformarsi a criteri di sicurezza nel trattamento dei dati valutabili in modo oggettivo. Poco rispetto al compito di promuove la nascente rete europea e la sicurezza delle informazioni e soprattutto raccogliere, analizzare e mettere a disposizione informazioni e competenze su tutte le questioni questioni chiave della sicurezza.
Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione in capo ad Enisa e declinata ora in Italia dal Mise dovranno essere ampiamente utilizzate:la certificazione della cybersicurezza rivestirà un’importanza fondamentale.
Tra le innovazioni introdotte dal recepimento italiano della normativa europea in materia di cybersecurezza vi è anche l’introduzione dell’elemento sanzionatorio, previsto ma non determinato dall’art.65 del Regolamento. Il testo approvato dalla Commissione del Senato in sede referente propone sanzioni non inferiori al 15 mila euro e non superiori ai 5 milioni in caso di violazione dei sistemi europei di certificazione.
