Cybersecurity Act: novità UE sulla sicurezza informatica

Con il Cybersecurity Act entra in vigore il nuovo approccio comunitario al problema degli attacchi informatici e della sicurezza online: un tassello concreto che si aggiunge alla Direttiva NIS del 2017 e alla ormai nota GDPR, il regolamento europeo sul trattamento dei dati personali. 

Tra le novità introdotte dal Cybersecurity Act c’è il nuovo ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (Enisa), i cui poteri vengono ampliati da un mandato permanente.

Pubblicato sulla gazzetta ufficiale il 7 giugno 2019 ed entrato in vigore venti giorni dopo, il Cybersecurity Act è ormai legge e rappresenta «un modello europeo forte per la sicurezza informatica, in linea con i valori democratici Ue, a salvaguardia degli interessi dei cittadini e delle imprese europee», come ha affermato  la commissaria Ue al Digitale, Mariya Gabriel.

Tre sono gli obiettivi principali di questo nuovo strumento normativo:

> limitare la vulnerabilità dei Paesi membri agli attacchi degli hacker

> creare un mercato unico di prodotti, servizi e processi per la sicurezza informatica

> aumentare la fiducia dei consumatori nelle tecnologie digitali .

Per raggiungerli, il testo prevede un’azione su due fronti.

Innanzitutto, vengono ridefinite le responsabilità e il campo d’azione dell’Enisa , istituita nel 2004. 

Fino a questo momento, il potere dell’Enisa era limitato sia dal mandato, che era a termine, sia dal fatto che il suo operato non andava oltre le attività di consulenza; in altre parole, l’Agenzia affiancava gli Stati membri nell’elaborazione di nuove politiche in materia di sicurezza delle reti e dei sistemi informativi e forniva indicazioni per aumentare la capacità di prevenire gli attacchi, di rilevarli e di fronteggiarli. L’applicazione e la gestione operativa rimanevano però appannaggio dei singoli paesi.

Ora il mandato dell’Enisa diventa permanente, ed il suo ruolo viene esteso alla gestione pratica degli incidenti informatici e dei cyberattacchi.

In seconda battuta, il Cybersecurity Act introduce nuovi schemi europei di certificazione dei prodotti e servizi digitali, la cui sicurezza era stata finora regolata da normative prevalentemente nazionali.

Prendiamo il caso dell’Italia: l’Iscom ( Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione , operante presso il Ministero dello Sviluppo Economico) già certifica la sicurezza informatica di prodotti e sistemi ICT, secondo uno schema nazionale istituito dal DPCM del 30 ottobre 2003 . E schemi di certificazione simili esistono anche in altri Stati membri. 

Tuttavia, queste certificazioni non vengono riconosciute all’estero; un problema risolto, appunto, dall’ introduzione di nuovi standard comunitari: sarà l’Enisa a stabilire le linee guida da seguire perché un prodotto o un servizio digitale possa essere considerato sicuro e conforme al Cybersecurity Act. Un approccio centralizzato, quindi, con regole che valgono per tutti e che renderanno auspicabilmente più forti i processi di prevenzione degli attacchi online.

Trattandosi di un Regolamento, il Cybersecurity Act sarà immediatamente applicabile in tutti gli Stati membri. Solo su alcune disposizioni, ad esempio in materia di sanzioni, sarà necessario l’intervento del legislatore nazionale per rendere esecutiva la norma.

Le novità del Cybersecurity Act si tradurranno in maggiori garanzie per i consumatori europei, ma anche in nuovi adempimenti per le aziende che hanno sede nei Paesi membri.

Hai un’impresa che lavora con l’estero e ti serve una consulenza legale?
Il nostro studio è specializzato in diritto internazionale: ecco come contattarci.

L'articolo Cybersecurity Act: novità UE sulla sicurezza informatica proviene da Studio Legale Palmigiano.