:
Se possibile, esiste una minaccia più grave ancora dei timori, attuali e futuri, legati alla guerra in Ucraina. Molteplici attori interferiscono nella vita quotidiana di cittadini e istituzioni attraverso i varchi sempre aperti del mondo digitale. Ma sopratutto il pericolo si concentra in tutte quelle forme di dipendenza che vanno sotto il nome di catene del valore o catene di approvvigionamento, e che in sostanza rappresentano il mondo nella sua globalità, solcato da innumerevoli interconnessioni digitali che ridefiniscono ruoli e poteri al di là dei semplici confini geografici tra nazioni.
In questo panorama turbolento, l'Europa ha sentito il bisogno di rafforzare l'arsenale degli strumenti che devono garantire la sicurezza delle proprie tecnologie informatiche, adottando un pacchetto di misure di più incisivo impatto. Stiamo parlando del Cybersecurity Package, adottato oggi.
Il pacchetto include una proposta di revisione del Cybersecurity Act, che rafforza la sicurezza delle catene di approvvigionamento delle tecnologie dell'informazione e della comunicazione (TIC) dell'UE. Garantisce che i prodotti che raggiungono i cittadini dell'UE siano sicuri dal punto di vista informatico fin dalla fase della loro progettazione, attraverso un processo di certificazione più semplice. Facilita inoltre la conformità alle norme UE vigenti in materia di cybersecurity e rafforza l'Agenzia dell'Unione europea per la cybersecurity (ENISA) nel supportare gli Stati membri e l'UE nella gestione delle minacce alla sicurezza informatica.
Ma cosa significa n concreto rafforzare la sicurezza delle catene di approvvigionamento delle tecnologie dell'informazione e della comunicazione (TIC) nell'UE?
ll nuovo Cybersecurity Act muove dal presupposto che, anche sulla base dei dati recenbtim, esistono paesi terzi in grado di rappresentare una minaccia per la sicurezza informatica degli stati membri, in particolare in in 18 settori considerati critici. A questo punto il nuovo pacchetto sicurezza definisce un meccanismo comune ed armonizzato per consentire sia agli Stati membri sia alla Commissione europea di identificare tali vulnerabilità ed agire nei confronti del paese terzo coinvolto. intende in questo modo ridurre i rischi nella catena di approvvigionamento delle tecnologie informatiche (TIC) dell'UE provenienti da fornitori di paesi terzi con problemi di sicurezza informatica. Definisce un quadro certo per la sicurezza delle catene di approvvigionamento relative alle tecnologie informatiche basato su un meccansimo armonizzato di valutazione del rischio. Recenti incidenti di cybersecurity hanno evidenziato i rischi posti dalle vulnerabilità nelle catene di approvvigionamento delle tecnologie dell'informazione e della comunicazione (TIC), che sono essenziali per il funzionamento dei servizi e delle infrastrutture criticihe. Nell'attuale panorama geopolitico, la sicurezza della supply chain non riguarda più solo la sicurezza tecnica di prodotti o servizi, ma anche i rischi legati a un fornitore, in particolare dipendenze e interferenze straniere.
Sul fronte della certificazione la nuova normativa sulla sicurezza informatica garantirà che i prodotti e i servizi destinati ai consumatori dell'UE siano testati in modo più efficiente per quanto riguarda la sicurezza. Ciò avverrà attraverso un rinnovato Quadro europeo di certificazione della sicurezza informatica (ECCF). L'ECCF apporterà maggiore chiarezza e procedure più semplici, consentendo di sviluppare schemi di certificazione entro 12 mesi. Introdurrà inoltre una governance più agile e trasparente per coinvolgere meglio le parti interessate attraverso l'informazione e la consultazione pubblica. Gli schemi di certificazione, gestiti dall'ENISA, diventeranno uno strumento pratico e volontario per le imprese. Consentiranno alle imprese di dimostrare la conformità alla legislazione dell'UE, riducendo oneri e costi. Oltre ai prodotti, servizi, processi e servizi di sicurezza gestiti ICT, aziende e organizzazioni saranno in grado di certificare la propria sicurezza informatica per soddisfare le esigenze del mercato. In definitiva, il nuovo ECCF costituirà un vantaggio competitivo per le imprese dell'UE. Per i cittadini, le imprese e le autorità pubbliche dell'UE, garantirà un elevato livello di sicurezza e fiducia nelle complesse catene di fornitura.
Infine, il ruolo dell'ENISA. Dall'adozione del primo Cybersecurity Act nel 2019, l'ENISA è cresciuta fino a diventare un pilastro dell'ecosistema della sicurezza informatica dell'UE. Il Cybersecurity Act rivisto, presentato oggi, consente all'ENISA di aiutare l'UE e i suoi Stati membri a comprendere le minacce comuni. Permette inoltre loro di prepararsi e rispondere agli incidenti informatici.
L'agenzia supporterà ulteriormente le aziende e le parti interessate che operano nell'UE emettendo allarmi tempestivi su minacce e incidenti informatici. In collaborazione con Europol e i Computer Security Incident Response Teams, supporterà le aziende nella risposta e nel ripristino in seguito ad attacchi ransomware. L'ENISA svilupperà inoltre un approccio unionale per fornire migliori servizi di gestione delle vulnerabilità alle parti interessate. Gestirà lo sportello unico per la segnalazione degli incidenti proposto nel Digital Omnibus.
L'ENISA continuerà a svolgere un ruolo chiave nell'ulteriore sviluppo di una forza lavoro qualificata in materia di sicurezza informatica in Europa. Lo farà sperimentando la Cybersecurity Skills Academy e istituendo programmi di attestazione delle competenze in materia di sicurezza informatica a livello UE.
L'ultimo elemento del pacchetto riguarda la semplificazione delle regole attualmente in vigore. Nella presentazione del pacchetto si dice che saranno introdotte misure volte a semplificare la conformità alle norme UE in materia di sicurezza informatica e ai requisiti di gestione del rischio per le aziende che operano nell'UE, integrando lo sportello unico per la segnalazione degli incidenti proposto nel Digital Omnibus. Modifiche mirate alla Direttiva NIS2 mirano ad aumentare la chiarezza giuridica. Semplificheranno la conformità per 28.700 aziende, tra cui 6.200 micro e piccole imprese. Introdurranno inoltre una nuova categoria di piccole imprese a media capitalizzazione per ridurre i costi di conformità per 22.500 aziende. Le modifiche semplificheranno le norme giurisdizionali, snelliranno la raccolta di dati sugli attacchi ransomware e faciliteranno la supervisione delle entità transfrontaliere con il ruolo di coordinamento rafforzato dell'ENISA.
Ma su questo punto si registrano le perplessità di Connect Europe, l'associazione che rappresenta una parte rilevante del settore in Europa . Si legge nel comunicato stampa tra l'altro che "Sebbene la proposta miri a rinnovare il quadro di certificazione della sicurezza informatica dell'UE, i suoi obblighi in materia di catena di fornitura ICT rischiano di imporre ulteriori vincoli significativi agli operatori. Se tali obblighi non si basano su solide valutazioni del rischio basate su prove concrete e non sono supportati da misure di mitigazione come meccanismi di rimborso dei costi, avranno un impatto significativo e negativo sull'implementazione della rete, sulla continuità operativa e sulla pianificazione degli investimenti."
Login