Con DECRETO LEGISLATIVO 3 agosto 2022, n. 123 il Governo adegua la normativa nazionale alle disposizioni del Titolo III «Quadro di certificazione della cibersicurezza» del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 che riguarda la cybersicurezza, e la certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione (leggi qui l’analisi del Regolamento).
Nell'articolo
DECRETO LEGISLATIVO 3 agosto 2022, n. 123: contenuto e articolazione
Il D.Lgs. n.123/2022 (di seguito “Decreto”), di adeguamento della disciplina UE in materia di cibersicurezza e certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione:
- designa l’Agenzia per la cybersicurezza nazionale come autorità nazionale di riferimento a livello europeo per la Cibersicurezza (art.4), e come autorità che regola la certificazione della Cybersicurezza (art.5) e la vigilanza (art.6) sui certificati oltre che sulle dichiarazioni di conformità (art.7);
- fornisce alcune indicazioni sull’accreditamento ed autorizzazione degli organismi di valutazione della conformità e sulla abilitazione dei laboratori di prova, degli esperti e per le attività di ricerca, formazione e sperimentazione nazionale nell’ambito della certificazione della cybersicurezza.
- riporta le sanzioni, la procedura per reclami e ricorsi giurisdizionali(artt.10-12), e regolamenta la destinazione dei proventi derivanti dalle attività dell’Agenzia (artt.13-14);
- Infine, l’articolo 15 regola l’attuazione nazionale dei nuovi sistemi europei di certificazione non approvati in Italia.
Vediamo i passaggi salienti del decreto.
DECRETO LEGISLATIVO Cybersicurezza: a chi si applica?
Il Decreto si applica alle attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale e le attività dello Stato nell’ambito del diritto penale.
Chi certifica la cybersicurezza in Italia?
In base all’art.4 del Decreto, l’Agenzia per la cybersicurezza nazionale è l’autorità nazionale di certificazione della cybersicurezza a livello europeo, nel rispetto di quanto previsto dall’articolo 58, paragrafo 1, del Regolamento europeo.
Quali regole per certificare la Cybersicurezza in Italia
Con apposito decreto, previsto dall’art.4 del D.Lgs. n.123/2022 verranno individuate le attività dell’Agenzia relative al rilascio di certificati europei di cybersicurezza (regolate all’articolo 6, comma 1) rigorosamente separate dalle attività di vigilanza (articolo 5) svolte indipendentemente dalle prime. Previsti 657.500 euro per l’anno 2022, 592.500 euro per l’anno 2023 e 637.500 euro annui a decorrere dall’anno 2024 per le spese relative alle suddette attività interne (art.4 comma 3).
Quale Vigilanza sui certificati di Cybersicurezza?
In base all’art. 5 l’Agenzia vigila sulla corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersicurezza, con riferimento ai certificati di cybersicurezza ed alle dichiarazioni UE di conformità emessi nel territorio dello Stato vigilando sui fornitori e fabbricanti emittenti le dichiarazioni UE di conformità, sui titolari di certificati europei di cybersicurezza e sugli organismi di valutazione della conformità, ai sensi dell’articolo 58 del Regolamento UE.
Opera anche in collaborazione con altre autorità di vigilanza del mercato competenti in Italia e con le autorità di vigilanza degli altri Stati membri.
Cosa può fare l’Agenzia per la cybersicurezza nazionale per l’attività di vigilanza?
L’Agenzia può effettuare, nei confronti degli organismi di valutazione della conformità, dei titolari dei certificati europei di cybersicurezza e degli emittenti le dichiarazioni di conformità UE, indagini ed audit (art.5), ottenendo informazioni anche tramite l’accesso ai locali degli organismi di valutazione della conformità o dei titolari dei certificati europei di cybersicurezza, revocare certificati, irrogare sanzioni pecuniarie ed accessorie (articolo 10). L’attività di vigilanza dell’Agenzia può prevedere prelievi di prodotti.
Chi rilascia i certificati di cybersicurezza?
In base all’art. 6 del Decreto, l’Agenzia rilascia i certificati di cybersicurezza con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI), (articolo 60, paragrafo 2, del Regolamento), che si può avvalere di esperti o di laboratori di prova abilitati dall’Agenzia ad operare per proprio conto e iscritti nell’elenco dei laboratori di prova e degli esperti per le attività di vigilanza nazionale, ferme restando, per specifici sistemi di certificazione, le possibili modalità di emissione dei certificati alternative (art. 56, paragrafo 6, lettere a) e b), del Regolamento).
La certificazione di Cybersicurezza è obbligatoria?
No, la certificazione della cybersicurezza è volontaria salvo diversamente specificato dal diritto dell’Unione o dal diritto nazionale ma l’Agenzia può adottare, previa consultazione con i portatori di interesse, regolamentazioni tecniche nazionali in cui sia prevista una certificazione obbligatoria nel quadro di un sistema europeo di certificazione della cybersicurezza (art.6).
Cosa sono e come funzionano le Dichiarazioni UE di conformità?
La «dichiarazione UE di conformità» è una attestazione di conformità rilasciata da un fabbricante di prodotti TIC o fornitore di servizi TIC ai sensi dell’articolo 53, paragrafo 1, del regolamento UE 2019/881, a seguito del processo di autovalutazione di conformità previsto dallo stesso articolo.
Cosa devono fare i fornitori o fabbricanti di prodotti/servizi/processi TIC?
Se viene autorizzata l’autovalutazione di conformità (art. 54 del Regolamento) i fornitori o fabbricanti di prodotti TIC, servizi TIC o processi TIC possono, in base all’art.7 del D.Lgs.n.123/22:
- rilasciare sotto la propria responsabilità dichiarazioni UE di conformità di livello di base per dimostrare il rispetto di requisiti tecnici previsti nel sistema;
- rendere disponibile all’Agenzia, per il periodo stabilito nel corrispondente sistema europeo di certificazione della cybersicurezza, la dichiarazione UE di conformità, la documentazione tecnica e tutte le altre informazioni pertinenti relative alla conformità dei prodotti TIC o servizi TIC al sistema. Una copia della dichiarazione UE di conformità viene trasmessa all’Agenzia e all’ENISA.
Nell’art.7 del Decreto si regolano quindi le ipotesi di non conformità di una dichiarazione UE (obblighi di revisione e revoca dei fabbricanti/fornitori)
La dichiarazione UE di conformità per la cybersicurezza è obbligatoria?
No, in base all’art. 7 comma 3 del Decreto, il rilascio è volontario, salvo diversamente specificato nel diritto dell’Unione o dal diritto nazionale mal’Agenzia può stabilire l’obbligatorietà della dichiarazione UE di conformità nelle fattispecie di cui all’articolo 6, comma 3.
Nuovi sistemi europei di certificazione della Cybersicurezza: come adeguarli in Italia?
In base all’art. 15 del Decreto, i nuovi sistemi europei di certificazione che sono adottati dalla Commissione europea (ai sensi dell’articolo 49, paragrafo 7, del Regolamento) ma che non sono autonomamente applicabili nel quadro di certificazione nazionale vigente, potranno essere attuati in Italia modificando o integrando l’atteso decreto interno all’Agenzia (previsto all’articolo 4, comma 2 del D.Lgs. n.123/22), in ogni aspetto operativo necessario.
Per approfondire in materia di Cibersecurity
- Leggi il nostro approfondimento
Manuale di diritto di INTERNET
L’opera, nata dalla collaborazione di diversi studiosi e professionisti specializzati nel settore, approfondisce la complessa tematica del rapporto fra diritto e nuove tecnologie.
Coordinamento editoriale Portale InSic.it – Formatore in salute e sicurezza sul lavoro – Content editor e Social media manager InSic.it