Il Cybersecurity Act, approvato dalla Commissione Europea e pubblicato sulla Gazzetta Ufficiale il 7 giugno 2019, entrerà in vigore il 27 giugno e imporrà misure mirate a rafforzare la cybersecurity nei Paesi dell’Unione Europea. Un passo molto importante per l’Europa, che per la prima volta si dimostra unita contro un problema che cresce ogni giorno in termini di pericolosità.
Ma cos’è il Cybersecurity Act?
Nella sua complessità, possiamo dire che il Cybersecurity Act ha un obiettivo ben chiaro: rafforzare la difesa informatica degli stati membri e creare un mercato unico in termini di servizi, prodotti e tecnologie basato su norme ben precise. Ergo: infrastrutture critiche (che possono essere di qualsiasi tipo) devono ottenere una certificazione specifica che ne attesti la sicurezza informatica. Diviso in due parti, una relativa al ruolo dell’ENISA e una al sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi alla rete, il Cybersecurity Act è un Regolamento vero e proprio, che sarà direttamente applicabile a tutti gli Stati Membri senza ulteriori legislazioni. Senza entrare nei meriti tecnici del Regolamento, possiamo più in generale fare delle considerazioni sui cambiamenti che questa normativa porterà. Creando un quadro generale da seguire in termini di certificazione per specifiche categorie di prodotti (o anche di servizi) la qualità di essi tenderà a crescere sempre di più, eliminando probabilmente dal mercato quelle soluzioni non conformi al Regolamento (che si presuppone non siano adeguatamente efficaci). Questo è sicuramente un bene per noi consumatori. Ovvio è che le aziende che vorranno continuare a lavorare dovranno per forza presentare domanda di certificazione dei propri prodotti e servizi. Ma è anche vero che per il Sales Team questo potrebbe diventare un plus valore notevole per differenziarsi da tutte quelle aziende che non hanno presentato la domanda di certificazione o non l’hanno ottenuta. Qualche esempio di dispositivi interessati? Quelli medici, di controllo industriale, veicoli automatizzati (si tratta quindi chiaramente di strumentazioni di notevole importanza e soggetti a rischio). Le certificazioni nazionali rilasciate precedentemente continueranno a valere fino alla loro scadenza naturale, ma verranno di fatto surclassate dalla nuova Normativa.
Cos’è l’ENISA?
L’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione, o Enisa, è stata istituita nel 2004 ed ha l’obiettivo di garantire un alto livello di sicurezza in termini cyber in Europa. Una sorta di “garante” della sicurezza IT, che fino al Cybersecurity Act però non aveva abbastanza potere da prevenire e di conseguenza reagire in maniera dignitosa agli attacchi informatici. Ora, con la crescita smisurata del rischio informatico, l’Europa ha deciso di garantirle un mandato permanente, consentendole fondamentalmente di avere un ruolo non solo puramente tecnico, ma anche un ruolo operativo nella gestione degli incidenti informatici. Era sicuramente arrivato il momento di avere un ente specifico, perché più “digitalizzati” diventeremo, più cresceranno le problematiche di questo mondo interconnesso.
Alcuni punti interessanti della Normativa:
• Per ottenere la certificazione i sistemi, i servizi e i processi devono essere in grado di proteggere i dati sensibili di cui si è in possesso • Che essi siano in grado di mantenerli, senza perderli o distruggerli • Che all’interno di un’azienda i dati siano disponibili solo alle persone che ne hanno davvero bisogno • Che le vulnerabilità note vengano registrate e gestite nella maniera più consona • Le aziende devono dimostrare la tempestività di intervento in caso di problematica • Che vengano effettuati costantemente gli aggiornamenti disponibili
Inoltre, considerato che non tutti i processi e servizi hanno lo stesso grado di rischio, il Cybersecurity Act prevede tre livelli di certificazione diversi: Base: per questo livello può bastare un’autocertificazione, dato che si tratta sostanzialmente di un riesame della documentazione tecnica. Sostanziale: il punto importante per questo livello è di ridurre al minimo i rischi di attacchi ed incidenti di persone con abilità e risorse limitate (un dipendente-tipo). Il test verifica l’assenza di vulnerabilità note e che i prodotti utilizzati siano effettivamente sicuri. Elevato: il livello più alto prevede la riduzione al minimo del rischio di attacchi informatici avanzati commessi da persone con abilità e risorse significative. Oltre ai test precedenti, in questo caso si valuta anche la resistenza agli attacchi informatici grazie a test di penetrazione.
Un piccolo passo per l’Europa, un grande passo per la sicurezza informatica!
Comments