Sistemi di sicurezza informatica la nuova strada dell’Unione Europea

Certificazioni cyber security in UE per la trasformazione digitale

5 min

I dati di mercato sulla trasformazione digitale in Italia, e non solo, sono in crescita e questa è già una buona notizia, ma l’altra notizia positiva è che da oggi sarà anche più sicuro grazie alle certificazioni sulla cyber security. Nel 2018 il settore ICT (informatica, telecomunicazioni, contenuti ed elettronica di consumo) è cresciuto del 2,5% e una crescita analoga si registra nel 2019 con un notevole aumento anche dei sistemi di sicurezza informatica. Nonostante i passi in avanti, però, ancora non cambia il quadro di un Sistema Paese a due velocità, con il fiorire di start up, di imprese e amministrazioni ben posizionate sul fronte dell’innovazione digitale e troppe realtà, soprattutto di minori dimensioni, ancora ai margini di un necessario ammodernamento.

Secondo l’Assintel Report i dati di mercato sulla trasformazione digitale in Italia sono comunque positivi e lo stato dell’arte mostra come, negli ultimi mesi, sia stata raggiunta e anche superata la soglia dei 30 miliardi di euro, con un complessivo +0,7% rispetto al valore del mercato dello scorso anno. Le performance migliori riguardano il software (in crescita del 4,7% rispetto al 2017) e i servizi IT (che hanno fatto registrare un +1,4%).

Ancora secondo Assintel i big player del settore ICT in Italia sono soprattutto le grandi realtà con oltre 250 addetti che operano nel mondo dell’industria (per il 23%) e della finanza (21%). Per quanto riguarda la distribuzione geografica degli investimenti Lazio, Lombardia e Piemonte sono stati e saranno anche per il prossimo futuro i big spender italiani, seguiti a distanza da regioni come l’Emilia Romagna. Secondo le stime di IDC, la prima società mondiale di ricerche di mercato in ambito IT e innovazione digitale, in tre anni più della metà dell’economia globale risulterà digitalizzata. La corsa alla digitalizzazione non solo accelererà ma si moltiplicherà coinvolgendo sempre più ambiti e figure aziendali. L’effetto combinato di questa accelerazione e moltiplicazione sta introducendo anche per le aziende italiane l’improrogabile urgenza di adattarsi per competere con successo nei mercati di oggi e del futuro e si dimostra fondamentale per la tenuta della nostra economia. Ma il fenomeno di accelerazione verso la digitalizzazione non riguarda ovviamente solo il nostro Paese ma tutta l’Unione Europea tanto che ha reso necessario un adeguamento con una nuova normativa per la sicurezza informatica.

L’Europa e la normativa per la sicurezza informatica

Se le reti, i sistemi di sicurezza informatica e i servizi informativi svolgono oggi un ruolo di importanza vitale nella società e senza di loro il mercato interno non potrebbe funzionare, diventa essenziale che questi siano affidabili e sicuri per le attività economiche e sociali attraverso certificazioni di cyber security. La centralità di questa esigenza ha portato ad un adeguamento anche da parte dell’Unione Europea con la realizzazione di un nuovo sistema di sicurezza informatica. Il 12 marzo 2019 il Parlamento europeo ha infatti approvato la proposta di certificazione di sicurezza digitale per l’Europa, il Cybersecurity Act, avanzata dalla Commissione Europea, che ridefinisce il quadro europeo delle certificazioni di cyber security, abrogando al contempo il regolamento UE 526/2013 che rappresentava l’iniziale costituzione dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA - European Network and Information Security Agency). Si tratta di un passo importante per l’Unione. Affrontare il capitolo della sicurezza informatica in modo unitario è un chiaro segnale di rafforzamento. Un pezzo importante di quel puzzle pensato già nel 2017 con la prima normativa comunitaria sulla sicurezza informatica, la direttiva NIS (Network and Information Security), e proseguita con il regolamento europeo sul trattamento dei dati personali, conosciuto come GDPR (General Data Protection Regulation). Oggi attraverso un mercato unico della cyber security in fatto di prodotti, processi e servizi, l’Europa vuole dare un segnale forte di coesione, così da imprimere maggiore fiducia nei consumatori che guardano al mercato digitale. Secondo gli ultimi dati UE disponibili, il mercato europeo della sicurezza informatica vale 130 miliardi di euro e registra una crescita annua del 17%. Bisogna aggiungere, come ricorda il Security Lead di Accenture per Europa e America Latina, Paolo Dal Cin, che in Europa il livello di standardizzazione in tema di cyber security è ancora molto basso. In questo senso il Cybersecurity Act rappresenta un passo molto importante per poter garantire, da un lato un modello operativo che abiliti una collaborazione snella ed efficace tra tutti i soggetti della Comunità europea, dall’altro un sistema di certificazione di riferimento che assicuri una protezione adeguata di tutti i prodotti e i servizi digitali.

La nuova certificazione cyber security europea

Riassumendo il Cybersecurity Act può essere suddiviso in due parti. Nella prima, dall’articolo 1 al 45, il regolamento ridefinisce il ruolo e l’organizzazione di ENISA, rendendone permanente il mandato e quindi più solido il ruolo, assegnandole tra l’altro, maggiori risorse. Grazie a questo mandato rinnovato, ENISA dovrà contribuire ad elevare le capacità di cyber security dell’Unione Europea sostenendo il rafforzamento del livello di preparazione degli Stati membri. ENISA costituirà inoltre un centro di competenze indipendente, che si adopererà per promuovere il livello di consapevolezza dei cittadini e delle imprese relativamente alla sicurezza dei dati, aiutando al contempo le istituzioni dell’UE e gli Stati membri nello sviluppo e nell’attuazione delle politiche comunitarie in tale ambito. Infine, l’Agenzia sosterrà un ruolo chiave nella definizione e nell’implementazione del nuovo schema di certificazioni per la cyber security.

Gli articoli da 46 a 65 istituiscono il quadro europeo di certificazione della sicurezza informatica per migliorare le condizioni di funzionamento del mercato interno, aumentando il livello di sicurezza e rendendo possibile, a livello di Unione, un approccio armonizzato dei sistemi europei di certificazione della cyber security, così da favorire la creazione di un mercato unico digitale per i prodotti, i servizi e i processi digitali.

La realizzazione del quadro europeo di certificazione non sarà però immediata: l’art 47 del Cybersecurity Act prevede infatti che la Commissione Europea pubblichi un programma di lavoro progressivo per la certificazione europea, nel quale saranno indicate le priorità strategiche per i futuri sistemi europei di certificazione della cyber security. Nonostante questo il Cybersecurity Act introduce già alcune caratteristiche che lo schema di certificazione dovrà adottare. Tra queste, per esempio, sarà necessario appurare che i sistemi, servizi o processi siano in grado di proteggere i dati dal trattamento, dall’accesso o dalla divulgazione non autorizzati o accidentali, che siano in grado di proteggere i dati dalla distruzione o dalle alterazioni accidentali o non autorizzate, che l’accesso di persone, programmi o macchine sia limitato esclusivamente ai dati o ai servizi per i quali questi dispongono dei diritti di accesso, che siano state individuate le dipendenze e le vulnerabilità note, che siano utilizzati criteri di “security by design” per la progettazione e che, di default, tali prodotti implementino le impostazioni più sicure ed infine che il software e l’hardware siano costantemente aggiornati per mezzo di meccanismi protetti.

Il Cybersecurity Act prevede tre livelli diversi di certificazione di sicurezza informatica.

Un livello di affidabilità “di base” per il quale può bastare un riesame della documentazione tecnica. Questo è l’unico livello per il quale il produttore/fornitore può ricorrere all’autocertificazione.

Un livello di affidabilità “sostanziale” per il quale la valutazione di sicurezza è effettuata per ridurre al minimo i rischi di attacchi informatici commessi da soggetti che dispongono di abilità e risorse limitate. E infine un livello di affidabilità “elevato” per il quale la valutazione di sicurezza è effettuata per ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative.

Un baluardo per l’eccellenza europea

Tra i tanti vantaggi messi in atto dal Cybersecurity Act per l’Europa c’è sicuramente l’aiuto a migliorare l’armonia del mercato interno, in quanto il valore europeo della certificazione pone un argine alla creazione di certificazioni nazionali e disarmoniche, che possono costituire un freno allo sviluppo del mercato unico digitale, rappresentando così un importante strumento commerciale per certificare l’eccellenza europea nella protezione dei diritti digitali dei propri cittadini e in aggiunta fornisce ai produttori europei un valido strumento per proteggersi dalla concorrenza di prodotti a basso costo, provenienti da Paesi non UE.