Il prossimo 14 novembre saremo ospiti di Digital360 all’evento Sicurezza e nuove tecnologie: come cambia la strategia nazionale a vantaggio di imprese e PA.
In particolare, interverremo alla tavola rotonda “Il nuovo strumento normativo del Cybersecurity Act – l’importanza della sicurezza informatica per la salvaguardia degli interessi dei cittadini e delle imprese europee”.
Facciamo prima di tutto un po’ di chiarezza sull’argomento.
About ENISA
L’ENISA contribuisce attivamente alla politica europea in materia di Cyber Sicurezza, sostenendo gli Stati membri e le parti interessate a sostenere una risposta agli incidenti informatici su vasta scala.
Tra i nuovi compiti che il “nuovo ENISA” dovrà svolgere:
- fornire un maggiore livello di supporto alla Commissione e agli Stati membri nello sviluppo e nell’attuazione delle politiche di sicurezza e nella costruzione di capacità operative;
- fornire attività di cooperazione operativa, ad esempio nel quadro dell’attuazione della direttiva NIS (per la quale l’ENISA fornisce già il segretariato della rete europea CSIRT);
- diventare l’InfoHub di riferimento sulle minacce avanzate e data breach per l’intera comunità europea della sicurezza, comprese le istituzioni dell’UE e altre agenzie.
Oltre a una costante informazione, risultano poi essere necessari un monitoraggio continuo e la gestione delle minacce avanzate per prevenire le violazioni e migliorarne rilevamento e risposta, ed avere internamente o in outsourcing un team di esperti che si attestano nel mondo del cyber crime in continua evoluzione, disponibili in qualsiasi momento.
Dal 2019, in seguito all’entrata in vigore della legge sulla cyber sicurezza (regolamento 2019/881), l’ENISA è stata incaricata di preparare gli “schemi europei di certificazione della cyber sicurezza” che fungono da base per la certificazione di prodotti, processi e servizi a supporto della consegna del mercato unico digitale.
Sicurezza e normative in Europa
Il Cybersecurity Act è una proposta di Regolamento, quindi per definizione viene applicato a tutti gli Stati membri dell’UE, senza che legislatori nazionali debbano intervenire.
A precederlo sono stati altri strumenti normativi quali la già citata direttiva NIS, la strategia per la sicurezza cibernetica dell’Europa ed ovviamente il GDPR.
Il primo programma sarà pubblicato entro e non oltre 12 mesi dall’entrata in vigore del regolamento, forse all’inizio del 2020.
Effetti sul mercato
Le aziende italiane possono utilizzare le proprie certificazioni nazionali per ottenere uno dei tre livelli di affidabilità: base, sostanziale o elevato (solo il base può essere ottenuto per autocertificazione), che corrispondono al grado di resistenza ad attacchi di sicurezza informatica.
Questo fattore può comportare un vantaggio competitivo nel confronto con i competitor e una variabile utile alla scelta ottimale dei propri partner. Inoltre, un prodotto certificato in Italia non è detto che lo sia in Francia. Una certificazione valida su tutto il territorio europeo permette di risparmiare su certificazioni internazionali e allargare il proprio giro d’affari, nonché favorire l’internazionalizzazione delle PMI.
Conclusioni
Va da sé che, visti i preoccupanti dati del Clusit di quest’anno (il numero di attacchi gravi alla sicurezza informatica in Italia è quasi raddoppiato nel corso di soli 4 anni), tutta la Supply Chain a livello europeo ne guadagnerà notevolmente in termini di resilienza cibernetica.
Inoltre, l’UE è così in grado di applicare delle barriere che non siano solamente tariffarie, all’ingresso di attori extra-UE e favorire il mercato interno.