SICUREZZA DIGITALE

Tutta la cybersicurezza allo Sviluppo Economico

La Commissione Politiche Ue del Senato chiude la partita sulla sicurezza nazionale delle reti e dell’informazione. Ci penserà il Mise. L’Agenzia per l’Italia digitale fuori dai giochi

Il Regolamento europeo, di per sé,  non prevedeva una scelta secca: ciascuno Stato membro avrebbe potuto designare una o più autorità nazionali di certificazione della cibersicurezza sul  proprio territorio e proporlo in sede Ue.  Così stabiliva il paragrafo 1 dell’articolo 58 del regolamento Ue 2018/881.

L’Italia ha invece  scelto una autorità unica, incardinandola dentro al Ministero dello Sviluppo Economico, da oggi ufficialmente a guardia – secondo la Commissione del Senato,  di un mercato che vale in Europa già 130 miliardi e cresce al ritmo del 18%  all’anno. Ci avevano provato in molti ad ipotecare  quel ruolo “autorevole”;  sulla carta almeno quattro soggetti potevano nutrire speranze.

Innanzitutto l’Agenzia per l’Italia Digitale (Agid), cioè  l’agenzia tecnica della Presidenza del Consiglio. In vista della partita italiana sulla sicurezza aveva redatto e diffuso ad aprile le linee-guida sulle misure minime di sicurezza ICT nelle amministrazioni, al fine di contrastare le minacce informatiche più frequenti e opzionare così, “de facto”, il suo ruolo nazionale di “autorità” in materia. Scartata senza pietà. Al punto che ora si porrà anche il problema della ridefinizione del suo ruolo nel Paese.  

Sulla carta qualche speranza la nutriva anche il Clusit, nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano con le sue  oltre 500 organizzazioni aderenti che coprono  tutti i settori del Sistema-Paese e  partecipa alla elaborazione di leggi, norme e regolamenti.

Stessa sorte per l’OCSI,  organismo di certificazione della sicurezza informatica che gestisce lo schema nazionale per la valutazione e certificazione della sicurezza dei sistemi e prodotti, gestisce l’accreditamento, la sospensione, e la revoca dell’abilitazione dei Laboratori per la valutazione della sicurezza e degli assistenti di sicurezza.

Cosa succederà in concreto (ma ci sono 12 mesi per l’emanazione di uno o più decreti legislativi per l’adeguamento della  nuova normativa nazionale al Titolo III del regolamento Ue)?

Succederà che l’Agenzia dell’Unione Europea per la cybersicurezza, l’Enisa  farà adottare i nuovi schemi europei di certificazione  conformi al Cybersecurity Act e questi diventeranno esecutivi e disponibili alle aziende europee e che andranno in soffitta tutti i prodotti certificati a livello nazionale. Anche quelli validati da chi avrebbe voluto avere un ruolo di Autorità.

Si tratta  di un pezzo importante del puzzle pensato già nel 2017, con la prima normativa comunitaria sulla sicurezza informatica, la direttiva NIS, e proseguita con il regolamento europeo sul trattamento dei dati personali, il famoso GDPR.  Il recepimento italiano del mercato unico della cybersecurity in fatto di prodotti, processi e servizi,  dovrebbe imprimere maggior fiducia nei consumatori  europei che ogni giorno osservano incidenti di percorso come quelli documentati  puntualmente da Infosec.

Un maggiore rafforzamento  della sicurezza di  ciascun  Paese europeo  è ciò che ancora manca dopo l’entrata in vigore, il 27 giugno del 2019,  del Cybersecity Act e ben venga un mercato unico della sicurezza informatica .

  1. Il Regolamento recepito con l’approvazione del Ddl, ridefinisce anche il ruolo e l’organizzazione  dell’ENISA, rendendone permanente il mandato, in sostituzione del suo mandato limitato che sarebbe scaduto proprio quest’anno  2020. Forse anche in previsione di una possibile morte prematura questo centro di expertise è stato stabilito ad Atene con una filiale a  Creta. Diciamo pure che a fronte di numerosi, cruciali e  altisonanti ruoli ufficiali stabiliti “per tabulas”, Enisa di concreto ha prodotto e dato molto meno, tra cui  un manuale  del 2017 sulla sicurezza nel trattamento dei dati personali, allo scopo di aiutare le PMI, che agiscono in qualità di titolari del trattamento, a confrontarsi e conformarsi a criteri di sicurezza nel trattamento dei dati valutabili in modo oggettivo. Poco rispetto al compito di promuove la nascente rete europea e la sicurezza delle informazioni e soprattutto raccogliere, analizzare e mettere a disposizione informazioni e competenze su tutte le questioni questioni chiave della sicurezza.

Le automobili connesse e automatizzate, i dispositivi medici elettronici, i sistemi di controllo per l’automazione industriale e le reti elettriche intelligenti sono solo alcuni esempi di settori in cui la certificazione in capo ad Enisa e declinata ora  in Italia dal Mise  dovranno essere   ampiamente utilizzate:la certificazione della cybersicurezza rivestirà  un’importanza fondamentale.

Tra le innovazioni introdotte dal recepimento italiano della normativa europea in materia di cybersecurezza vi è anche l’introduzione dell’elemento sanzionatorio, previsto  ma non determinato  dall’art.65 del Regolamento. Il testo approvato dalla Commissione del Senato in sede referente  propone sanzioni non inferiori al 15 mila euro e non superiori ai 5 milioni in caso di  violazione dei sistemi europei di certificazione.  

Back to top button
Close
Close