È stato pubblicato sulla Gazzetta ufficiale dell’Unione europea L 151/15 il testo definitivo del Cybersecurity Act, il Regolamento (UE) 2019/881 del Parlamento Europeo, un importante passo avanti nella realizzazione di un sistema di sicurezza cibernetica europea.

Nuovo regolamento UE sulla sicurezza informatica 

“Considerata la natura priva di confini delle minacce cyber abbiamo la necessità di aumentare le nostre capacità a livello unitario per completare l’azione dei singoli stati membri, soprattutto nel caso di attacchi transnazionali”

Questa la motivazione fondamentale alla base del nuovo regolamento varato dall’ Unione Europea ed adottato dal 27 giugno scorso da tutti gli stati membri, senza necessità di interventi attuativi da parte dei legislatori nazionali.

Gli Obiettivi

La cybersecurity è divenuta negli ultimi anni un argomento molto delicato a causa della crescente diffusione di attacchi hacker che hanno preso di mira aziende ed infrastrutture strategiche di diversi Paesi.

Sono sempre più forti, inoltre, le paure riguardanti lo spionaggio da parte di nazioni ostili, ed è per questo che l’Europa ha ritenuto necessaria l’introduzione del Cybersecurity Act.

Il nuovo Regolamento diviene una parte fondamentale della nuova strategia per la sicurezza cibernetica dell’Europa e consente non solo di rafforzare la resilienza dell’Unione agli attacchi informatici, ma anche di creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi.

“Con il nuovo regolamento abbiamo dimostrato quanto sia importante un approccio europeo alla cybersicurezza” ha annunciato Mariya Gabriel, la commissaria dell’Economia Digitale. “È cruciale che tutti i cittadini, le aziende e gli stati membri si sentano sempre più al sicuro”.

 A chi il compito di vigilanza?

Garantire la sicurezza spetterà all’ENISA, l’Agenzia Europea per la Sicurezza Informatica, che con il Cybersecurity Act vede rafforzati i propri poteri ed aumentate le risorse economiche assegnate con un budget che oscilla tra gli 11 ed i 23 milioni di euro per i prossimi 5 anni.

Fondata nel 2004, l’Agenzia si occuperà della protezione di tutti gli Stati membri, prima soli in questo arduo compito, nonché delle Istituzioni ed agenzie dell’Unione per renderli più forti e pronti nella risposta ad eventuali minacce come attacchi hacker o rischi legati a nuove tecnologie quali il 5G.

Più potere all’ENISA

La nuova legge sulla sicurezza informatica prevede un mandato permanente e maggiori risorse per l’Agenzia europea per la sicurezza informatica, ENISA.

In questo modo, l’Agenzia europea potrà svolgere non solo i suoi consueti compiti di consulenza tecnica, ma anche attività di supporto concreto alla gestione operativa degli incidenti informatici subiti dagli Stati membri nonchè promuovere l’informazione su temi come la pirateria digitale e cybersicurezza.

Inoltre il Parlamento europeo ha affidato all’ENISA un ruolo di primo piano nella gestione del sistema di certificazione introdotto dal Cybersecurity Act.

In questo caso dovrà stabilire delle linee guida operative per ottenere le certificazioni europee.

La strategia europea

Così come già concordato informalmente con i ministri UE, il Cybersecurity Act prevede la certificazione delle infrastrutture critiche, comprese le reti energetiche, l’acqua e i sistemi bancari, oltre a prodotti, processi e servizi, e garantisce che soddisfino gli standard di sicurezza informatica.

I sistemi di controllo industriali, i dispositivi medici e i nuovi veicoli a guida autonoma sono solo alcuni dei prodotti di uso comune (o che lo saranno nei prossimi anni) per i quali sarà disponibile il nuovo schema europeo di certificazione.

Minacce informatiche: la Cina fa paura

Il Parlamento Europeo ha avviato una discussione per ricercare le migliori soluzioni ed attuare azioni concrete contro le minacce alla sicurezza legate alla crescente presenza tecnologica della Cina in UE.

Sotto i riflettori il 5G e le affermazioni secondo cui le infrastrutture ad esso legate potrebbero avere delle “backdoor” incorporate che consentirebbero ai fornitori, ed alle autorità cinesi, di avere un accesso non autorizzato ai dati personali e alle telecomunicazioni nell’UE.

In questo caso i fornitori di dispositivi potrebbero rappresentare un rischio per la sicurezza informatica dell’UE nella misura in cui essi provengano da paesi con leggi che li obbligano a cooperare con lo Stato, come nel caso cinese.

Contestualmente, è stato anche proposto di:

• diversificare gli acquisti con diversi fornitori;
• introdurre procedure di appalto in più fasi;
• stabilire una strategia per ridurre la dipendenza dell’Europa dalla tecnologia di sicurezza informatica straniera;
• creare un sistema di certificazione cyber-sicurezza per l’introduzione del 5G.