Certificazione della cibersicurezza europea: il Regolamento 2019/881

All’interno del regolamento (UE) 2019/881, del Parlamento europeo e del Consiglio del 17 aprile 2019 l’Europa ha regolamentato il ruolo dell’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e ha dettato le regole europee per la certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione.

Il Regolamento è stato attuato in Italia con  DECRETO LEGISLATIVO 3 agosto 2022, n. 123 (leggi qui l’analisi del Decreto).

Cosa prevede il nuovo Regolamento europeo sulla Cibersicurezza? Quali sono le regione dettate dall’Unione sulla certificazione della Cibersicurezza e in cosa consiste il relativo certificato?

Il regolamento (UE) 2019/881

Il Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, oggetto di adeguamento nel nostro paese, aggiorna di fatto il funzionamento della ENISA, l’Agenzia dell’Unione europea per la cibersicurezza (European Union Agency for Network and Information Security — ENISA)[1].

Entrata in vigore del Regolamento Cibersicurezza

Il Regolamento è entrato in vigore 20 giorni dopo la sua pubblicazione (in Gazzetta europea L 151, del 7 giugno 2019 ed è già operativo in tutti gli stati membri abrogando dal 27 giugno 2019 il precedente Regolamento che aveva istituito l’Agenzia.

In particolare, alcune norme del Titolo III sulle “Autorità nazionali di certificazione della cibersicurezza”, ovvero gli articoli 58 (Autorità nazionali di certificazione della cibersicurezza), 60(Organismi di valutazione della conformità), 61 (Notifica), 63(Diritto di presentare un reclamo), 64 (Diritto a un ricorso giurisdizionale effettivo) e 65 (Sanzioni)sono entrate in vigore dal 28 giugno 2021.

Regolamento Cibersicurezza: cosa contiene?

Con l’obiettivo di garantire  un elevato livello di cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione, il regolamento stabilisce:

• gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA
• un quadro per l’introduzione di sistemi europei di certificazione della cibersicurezza al fine di garantire un livello adeguato di cibersicurezza dei prodotti TIC, servizi TIC e processi TIC nell’Unione, e per evitare la frammentazione del mercato interno per quanto riguarda i sistemi di certificazione della cibersicurezza nell’Unione.

Regolamento Europeo 2019/881: articolazione e norme

Il Regolamento contiene 69 articoli divisi in 5 Titoli.

A parte le Disposizioni generali (Titolo I) e le Disposizioni finali (Titolo IV), i titoli più importanti sono il Titolo II che regola direttamente il funzionamento dell’Agenzia europea (mandato, obiettivi, compiti) e in particolare l’art. 8 riguarda da vicino il potere di certificazione della cibersicurezza dei prodotti TIC, dei servizi TIC e dei processi TIC[2].

Fondamentale è quindi il Titolo III che detta il QUADRO DI CERTIFICAZIONE DELLA CIBERSICUREZZA richiesto dall’art.8. Tale quadro contiene però regole che, come visto, sono entrate in vigore ad un anno di distanza dall’introduzione del Regolamento e che ora dovranno trovare applicazione in Italia attraverso il decreto legislativo in arrivo.

Certificazione della Cibersicurezza

Le norme del Titolo II del Regolamento istituiscono il Quadro della Certificazione europea della Cibersicurezza: regolano i caratteri e le finalità della certificazione e le valutazioni svolte sui prodotti, servizi e processi TIC da certificare.

Previste anche Sanzioni effettive, proporzionate e dissuasive (art.68) applicabili in caso di violazione del Titolo e il diritto in mano a persone fisiche e giuridiche, di presentare un reclamo (art.63) all’emittente di un certificato europeo di cibersicurezza o un ricorso giurisdizionale effettivo (art.64) per le decisioni assunte dall’autorità o dall’organismo di valutazione della conformità anche in caso di rilascio improprio o mancato rilascio o al riconoscimento di un certificato detenuto dalle stesse persone fisiche e giuridiche, dinanzi ai tribunali dello Stato membro in cui ha sede l’autorità o l’organismo contro cui è mosso il ricorso giurisdizionale.

Certificazione della Cibersicurezza: di cosa si occupa ENISA?

In base all’art.8 l’ENISA sostiene e promuove la certificazione della cibersicurezza dei prodotti TIC, dei servizi TIC e dei processi TIC

• monitorando continuamente gli sviluppi nei settori di normazione connessi e raccomandando adeguate specifiche tecniche ai fini dello sviluppo di sistemi europei di certificazione della cibersicurezza
• preparando proposte di sistemi europei di certificazione della cibersicurezza («proposte di sistemi») per prodotti TIC, servizi TIC e processi TIC
• valutando i sistemi europei di certificazione della cibersicurezza adottati
• partecipando a valutazioni inter pares
• assistendo la Commissione nel provvedere alle funzioni di segretariato dell’ECCG a norma dell’articolo 62, paragrafo 5.

L’ENISA elabora e pubblica orientamenti e sviluppa buone pratiche in merito ai requisiti di cibersicurezza per i prodotti TIC, i servizi TIC e i processi TIC, in cooperazione con le autorità nazionali di certificazione della cibersicurezza e con il settore in modo formale, strutturato e trasparente.

Il Regolamento prevede anche l’istituzione del gruppo europeo per la certificazione della cibersicurezza («ECCG» art.62) composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza o da rappresentanti di altre autorità nazionali competenti

Cyber Resilienza: le linee guida di ENISA e CERT-EU

Finalità della Certificazione della Cibersicurezza

Il quadro di certificazione della Cibersicurezza mira ad aumentare il livello di cibersicurezza all’interno dell’Unione per un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza. In tal modo si intende  creare un mercato unico digitale per i prodotti TIC, i servizi TIC e i processi TIC.

Per questo la finalità del Quadro disegnato dall’Unione è

• istituire sistemi europei di certificazione della cibersicurezza
• attestare che i prodotti, servizi TIC e processi TIC valutati nel loro ambito sono conformi a determinati requisiti di sicurezza.

Obiettivi della Certificazione della cibersicurezza

I sistemi europei di certificazione della cibersicurezza sono progettati per conseguire almeno i seguenti obiettivi di sicurezza definiti dal Regolamento all’art. 51

• proteggere i dati conservati, trasmessi o altrimenti trattati dall’archiviazione, dal trattamento, dall’accesso o dalla divulgazione accidentali o non autorizzati durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC;
• proteggere i dati conservati, trasmessi o altrimenti trattati dalla distruzione, dalla perdita o dall’alterazione accidentali o non autorizzate, oppure dalla mancanza di disponibilità durante l’intero ciclo di vita del prodotto TIC, del servizio TIC o del processo TIC;
• le persone, i programmi o le macchine autorizzati devono poter accedere esclusivamente ai dati, ai servizi o alle funzioni per i quali dispongono dei diritti di accesso;
• individuare e documentare le dipendenze e vulnerabilità note;
• registrare a quali dati, servizi o funzioni è stato effettuato l’accesso e quali sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
• fare in modo che si possa verificare quali sono i dati, i servizi o le funzioni a cui è stato effettuato l’accesso, che sono stati utilizzati o altrimenti trattati, in quale momento e da chi;
• verificare che i prodotti TIC, i servizi TIC e i processi TIC non contengano vulnerabilità note;
• ripristinare la disponibilità e l’accesso ai dati, ai servizi e alle funzioni in modo tempestivo in caso di incidente fisico o tecnico;
• i prodotti TIC, i servizi TIC e i processi TIC devono essere sicuri fin dalla progettazione e per impostazione predefinita;
• il software e l’hardware dei prodotti TIC, dei servizi TIC e dei processi TIC devono essere aggiornati, non contenere vulnerabilità pubblicamente note e devono disporre di meccanismi per effettuare aggiornamenti protetti.

Come si articola la certificazione della cibersicurezza?

Il Regolamento UE prevede un programma di lavoro progressivo dell’Unione (art.47) con le priorità strategiche per i futuri sistemi europei di certificazione della cibersicurezza e una proposta di sistema o di revisione del sistema esistente (art.48 e 49. Previsto un Sito web sui sistemi europei di certificazione della cibersicurezza (in gestione all’ENFISA, art.50).

Prodotti, servizi e processi TIC: come valutarli?

Il regolamento prevede anche (art.52) che si introducano per i prodotti TIC, i servizi TIC e i processi TIC uno o più dei seguenti livelli di affidabilità:

• «di base»,
• «sostanziale»
• «elevato»  

Il livello è commisurato al livello del rischio associato al previsto uso del prodotto servizio o processo TIC. I requisiti di sicurezza per ogni livello di affidabilità vanno indicati nel sistema europeo di certificazione della cibersicurezza pertinente, comprese le corrispondenti funzionalità di sicurezza e il rigore e la specificità corrispondenti della valutazione a cui deve essere sottoposto il prodotto TIC, servizio TIC o processo TIC (si veda diffusamente l’art.52).

Il Regolamento prevede anche una “Autovalutazione della conformità” (art.53) sotto la sola responsabilità del fabbricante o del fornitore di prodotti TIC, servizi TIC o processi TIC che presentano un basso rischio corrispondenti al livello di affidabilità «di base».

Quali elementi deve avere un sistema di certificazione della Cibersicurezza?

Il Regolamento elenca direttamente gli elementi dei sistemi europei di certificazione della cibersicurezza all’art.54.

Certificato europeo di cibersicurezza: che cos’è e a cosa serve

In base al regolamento (art.52) un certificato europeo di cibersicurezza o una dichiarazione UE di conformità che si riferisca al livello di affidabilità «di base» assicura che i prodotti TIC, i servizi TIC e i processi TIC per i quali sono rilasciati tale certificato o tale dichiarazione UE di conformità rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi di base noti di incidenti e attacchi informatici

Le attività di valutazione da intraprendere comprendono almeno un riesame della documentazione tecnica. Qualora tale riesame non sia appropriato, si ricorre ad attività di valutazione sostitutive di effetto equivalente.

Cos’è il Certificato di cibersicurezza per livello di affidabilità «sostanziale»?

Un certificato europeo di cibersicurezza che si riferisca al livello di affidabilità «sostanziale» assicura che i prodotti TIC, servizi TIC e processi TIC per i quali è rilasciato tale certificato rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi alla cibersicurezza e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate (si veda all’art.52).

Cos’è il certificato europeo di cibersicurezza per livello di affidabilità elevato?

Un certificato europeo di cibersicurezza che si riferisca al livello di affidabilità «elevato» assicura che i prodotti TIC, i servizi TIC e i processi TIC per i quali è rilasciato tale certificato rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative.

Prodotti servizi e processi TIC certificati: cosa significa?

I prodotti TIC, i servizi TIC e i processi TIC certificati ricorrendo a un sistema europeo di certificazione della cibersicurezza adottato a norma dell’articolo 49 sono considerati conformi ai requisiti di tale sistema. La certificazione della cibersicurezza è volontaria, ribadisce l’art.56 ed è la Commissione europea a valutare periodicamente l’efficacia e l’utilizzo dei sistemi europei di certificazione della cibersicurezza adottati e l’eventuale necessità di rendere obbligatorio uno specifico sistema europeo di certificazione della cibersicurezza.

Chi rilascia certificati europei di cibersicurezza?

Anche gli organismi di valutazione della conformità (regolati all’articolo 60) possono rilasciare certificati europei di cibersicurezza ma fanno riferimento a un livello di affidabilità «di base» o «sostanziale» sulla base dei criteri previsti dal sistema europeo di certificazione della cibersicurezza adottato dalla Commissione (ai sensi dell’articolo 49).

Sistema europeo di cibersicurezza e sistemi di sicurezza nazionali: quale prevale?

In base al Regolamento (art 57)

• i sistemi nazionali di certificazione della cibersicurezza e le procedure correlate per i prodotti TIC, servizi TIC e processi TIC coperti da un sistema europeo di certificazione della cibersicurezza cessano di produrre effetti a con l’atto di esecuzione previsto dall’articolo 49, paragrafo 7
• I sistemi nazionali di certificazione della cibersicurezza e le procedure correlate per i prodotti TIC, servizi TIC e processi TIC non coperti da un sistema europeo di certificazione della cibersicurezza restano invece in vigore.

Riconoscimento delle autorità nazionali per la Cibersicurezza

Ciascuno Stato membro dovrà designare  una o più autorità nazionali di certificazione della cibersicurezza nel suo territorio (in Italia esiste già l’Agenzia nazionale) con specifici compiti (art.58 per il dettaglio) e dovranno essere sottoposte a una “valutazione inter pares” (art.59) per ottenere norme equivalenti in tutta l’Unione relativamente ai certificati europei di cibersicurezza.

Per ciascun sistema europeo di certificazione della cibersicurezza le autorità nazionali dovranno notificare (art.61) alla Commissione gli organismi di valutazione della conformità che sono stati accreditati (regolati all’art.60) e, se del caso, autorizzati a rilasciare certificati europei di cibersicurezza a determinati livelli di affidabilità.

Agenzia per la Cybersicurezza Nazionale: cos’è e come funziona

Relazione su ENISA e requisiti di Cibersicurezza ogni 5 anni

Entro il 28 giugno 2024, e successivamente ogni cinque anni, la Commissione dovrà valutare sia l’impatto, l’efficacia e l’efficienza dell’ENISA e delle sue prassi di lavoro, che la necessità di requisiti essenziali di cibersicurezza per l’accesso al mercato interno onde impedire l’ingresso nel mercato dell’Unione di prodotti TIC, servizi TIC e processi TIC che non rispettano i requisiti di base in materia di cibersicurezza.

Sempre entro tale data e ogni 5 anni, la Commissione dovrà trasmettere la relazione di valutazione e le sue conclusioni al Parlamento europeo, al Consiglio e al consiglio di amministrazione.

Per approfondire in materia di Cibersecurity

• Leggi il nostro approfondimento

Cybersecurity: definizione e provvedimenti

Cybercrime: significato, tipologie e come difendersi dai reati informatici

• Consulta il volume di EPC Editore

Manuale di diritto di INTERNET

L’opera, nata dalla collaborazione di diversi studiosi e professionisti specializzati nel settore, approfondisce la complessa tematica del rapporto fra diritto e nuove tecnologie.

---

[1] Istituita dal regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio contribuisce allo sviluppo del settore della cibersicurezza nell’Unione, in particolare le PMI e le start-up.

[2] Si intende per «prodotto TIC»: un elemento o un gruppo di elementi di una rete o di un sistema informativo; mentre per «servizio TIC» un servizio consistente interamente o prevalentemente nella trasmissione, conservazione, recupero o elaborazione di informazioni per mezzo della rete e dei sistemi informativi. È invece un «processo TIC»: un insieme di attività svolte per progettare, sviluppare, fornire o mantenere un prodotto TIC o servizio TIC.