Cybersecurity - ecco le nuove regole per l'Europa
A partire da oggi entra in vigore il nuovo regolamento che rafforza il ruolo dell’Agenzia dell’Unione europea per la cybersecurity (ENISA), definendo anche il quadro UE per la certificazione della cybersicurezza di prodotti e servizi ICT.
> Cybersecurity - misure per reti 5G in Europa
Il regolamento UE n. 881-2019 abroga il regolamento UE n. 526-2013 sulla cybersecurity, con l’obiettivo di garantire il buon funzionamento del mercato interno.
> Cybersecurity - coordinare i finanziamenti in Italia e in Europa
Nuove regole UE per cybersicurezza
Nel dettaglio il regolamento stabilisce:
- gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA;
- un quadro per l’introduzione di sistemi europei di certificazione della cybersicurezza dei prodotti, servizi e processi ICT.
L’ENISA svolge una serie di compiti, a partire dall’assistenza all’UE e agli Stati membri nell’elaborazione e nell’attuazione di politiche relative alla cybersicurezza, promuovendo contemporaneamente la cooperazione e la condivisione di informazioni.
L’Agenzia promuove anche l’uso della certificazione europea della cybersicurezza, con l’obiettivo di evitare la frammentazione del mercato interno, contribuendo inoltre all’istituzione e al mantenimento di un apposito quadro europeo di certificazione.
Quest’ultimo prevede la definizione di un meccanismo che attesti la sicurezza di prodotti, servizi e processi ICT, al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati.
La Commissione UE pubblicherà un programma di lavoro progressivo per la certificazione, in cui saranno individuate le priorità strategiche per i futuri sistemi europei di certificazione della cybersecurity. Il primo programma di lavoro dell’Unione verrà pubblicato entro il 28 giugno 2020.
I sistemi europei di certificazione sono progettati per conseguire una serie di obiettivi di sicurezza:
- proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto, servizio o processo ICT;
- proteggere i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto, servizio o processo ICT;
- assicurare che le persone, i programmi o le macchine autorizzati accedano esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso;
- individuare e documentare le dipendenze e vulnerabilità note;
- registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
- fare in modo che si possa verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
- verificare che i prodotti, i servizi e i processi ICT non contengano vulnerabilità note;
- ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico;
- assicurare che i prodotti, i servizi e i processi ICT siano sicuri fin dalla progettazione e per impostazione predefinita;
- garantire che il software e l’hardware dei prodotti, dei servizi e dei processi ICT siano aggiornati, non contengano vulnerabilità pubblicamente note e dispongano di meccanismi per effettuare aggiornamenti protetti.
La certificazione della cybersicurezza è volontaria, a meno che non sia specificato diversamente dal diritto dell’UE o degli Stati membri.
Sarà compito di ogni Paese dell'Unione designare una o più autorità nazionali di certificazione, che dovranno supervisionare e far applicare le nuove regole.
Photo by Ecole polytechnique / Paris / France on Foter.com / CC BY-SA
